Embed Size (px)
Citation preview
VARSTVO OSEBNIH PODATKOV V DELOVNIH RAZMERJIH
S m e r n i c e I n f o r m a c i j s k e g a p o o b l a š č e n c a
Stran | 1
Namen dokumenta: Smernice podajajo odgovore na najpogosteje zastavljena vprašanja glede varstva osebnih podatkov, s katerimi se srečujejo delavci in delodajalci.
Ciljne javnosti: Vodilni kader, pravne, kadrovske in IT službe delodajalcev, delavci, sindikalna združenja.
Status: javno
Verzija: 1.1
Posodobitev glede na Splošno uredbo o varstvu podatkov (GDPR) ter spremembe v točkah:
• 1.14 glede obdelave osebnih podatkov pri plačevanju sindikalnih članarin,
• 6.1. glede pošiljanje čestitk in daril,
• 6.4. glede zahteve po nerazkrivanju podatka o plači,
• 7.2 glede obdelave osebnih podatkov pri izbiri kandidatov za zaposlitev.
Datum izdaje: 25. 11. 2019
Avtorji: Informacijski pooblaščenec
Ključne besede: Smernice, delodajalci, delavci, delovna razmerja, zbiranje podatkov, objava podatkov, nadzor nad delovnimi sredstvi, e-pošta, internet, podatki o zdravstvenem stanju, sindikati, nadzor bolniškega staleža.
Stran | 2
KAZALO
O SMERNICAH INFORMACIJSKEGA POOBLAŠČENCA ..................................................................................... 4
UVOD ......................................................................................................................................................... 4
ZAKONSKA UREDITEV VARSTVA OSEBNIH PODATKOV V DELOVNIH RAZMERJIH ........................................... 5
ODGOVORI NA POGOSTO ZASTAVLJENA VPRAŠANJA ................................................................................... 7
1 ZBIRANJE OSEBNIH PODATKOV DELAVCEV ........................................................................................... 8
1.1 DELAVČEVA ZASEBNA TELEFONSKA ŠTEVILKA .......................................................................................... 8
1.2 POTRDILO O NEKAZNOVANOSTI................................................................................................................ 9
1.3 PODATKI O PLAČI PRI BIVŠEM DELODAJALCU ........................................................................................... 9
1.4 ANALIZA PSIHOLOŠKEGA PROFILA DELAVCA ........................................................................................... 10
1.5 KOPIJE OSEBNIH DOKUMENTOV ............................................................................................................. 10
1.6 KOPIJA POTRDILA O DAVČNI ŠTEVILKI IN KOPIJA BANČNE KARTICE ....................................................... 11
1.7 KOPIJA IZPISA IZ POROČNE MATIČNE KNJIGE ......................................................................................... 11
1.8 KOPIJA IZPISA IZ ROJSTNE MATIČNE KNJIGE ........................................................................................... 11
1.9 PODATEK O DIETNI PREHRANI DELAVCA ................................................................................................. 12
1.10 VZROK KORIŠČENJA LETNEGA DOPUSTA ............................................................................................... 12
1.11 PRIDOBITEV OSEBNIH PODATKOV KANDIDATA OD TRENUTNEGA DELODAJALCA ............................... 12
1.12 FOTOGRAFIRANJE DELAVCA .................................................................................................................. 12
1.13 PODATEK O VELJAVNOSTI VOZNIŠKEGA DOVOLJENJA .......................................................................... 13
1.14 PODATEK O ČLANSTVU V SINDIKATU .................................................................................................... 13
1.15 PODATKI O INVALIDNOSTI ..................................................................................................................... 14
2 OBJAVA IN POSREDOVANJE OSEBNIH PODATKOV DELAVCEV .............................................................. 16
2.1 PODATKI IZ EVIDENCE DELOVNEGA ČASA ............................................................................................... 16
2.2 PODATEK O DELAVČEVI IZOBRAZBI NA DELODAJALČEVI SPLETNI STRANI .............................................. 16
2.3 PODATKI O KORIŠČENJU POČITNIŠKIH KAPACITET NA OGLASNI DESKI .................................................. 17
2.4 OBJAVA INTERNEGA TELEFONSKEGA IMENIKA NA INTRANETU ............................................................. 17
2.5 OBJAVA FOTOGRAFIJ ZAPOSLENIH NA SPLETNI STRANI PODJETJA ......................................................... 17
3 VARNOST IN ZDRAVJE PRI DELU ....................................................................................................... 17
3.1 SEZNANITEV Z RAZLOGI ZA OMEJITVE PRI DELU ..................................................................................... 17
3.2 PREVERJANJE ALKOHOLIZIRANOSTI DELAVCA ........................................................................................ 18
3.3 REZULTATI TESTIRANJ NA ALKOHOL, PSIHOAKTIVNE SNOVI IN PREPOVEDANE DROGE ........................ 18
Stran | 3
3.4 ZDRAVSTVENA DOKUMENTACIJA O NEZGODI PRI DELU ......................................................................... 19
3.5 PODATKI V ZVEZI S KONTROLO BOLNIŠKEGA STALEŽA ........................................................................... 19
3.6 PRIDOBITEV PODATKA O KRŠITVI BOLNIŠKEGA STALEŽA S FACEBOOKA ................................................ 20
3.7 KONTROLA BOLNIŠKEGA STALEŽA NA PODLAGI FOTOGRAFIJE DELAVCA .............................................. 20
3.8 PODATEK O OBISKU LABORATORIJA V ČASU BOLNIŠKE ODSOTNOSTI ................................................... 20
4 NADZOR NAD DELOVNIMI SREDSTVI .............................................................................................. 21
4.1 ELEKTRONSKA POŠTA IN RAČUNALNIK.................................................................................................... 21
4.2. TELEFON.................................................................................................................................................. 27
4.3. INTERNET ................................................................................................................................................ 28
4.4. TISKALNIKI ............................................................................................................................................... 28
5 SINDIKAT IN SVET DELAVCEV ........................................................................................................ 29
5.1. POSREDOVANJE PODATKOV O NAPREDOVANJU, PLAČNEM RAZREDU IN LETNIH OCENAH ................. 29
5.2. POSREDOVANJE PODATKOV O BOLNIŠKI ODSOTNOSTI ......................................................................... 30
5.3. POSREDOVANJE OSEBNIH IMEN ODPUŠČENIH DELAVCEV .................................................................... 30
6 RAZNO ....................................................................................................................................... 31
6.1. POŠILJANJE ČESTITK IN DARIL ................................................................................................................. 31
6.2. POŠILJANJE PLAČILNIH LIST PO E-POŠTI ................................................................................................. 31
6.3. VPOGLED V REZULTATE TESTOV ............................................................................................................. 31
6.4. ZAHTEVA PO NERAZKRIVANJU PODATKA O PLAČI ................................................................................. 32
7 ROK HRAMBE OSEBNIH PODATKOV ............................................................................................... 32
7.1. OSEBNI PODATKI DELAVCEV ................................................................................................................... 32
7.2. OSEBNI PODATKI KANDIDATOV ZA ZAPOSLITEV .................................................................................... 33
NAPOTITEV NA DRUGE SMERNICE INFORMACIJSKEGA POOBLAŠČENCA ..................................................... 35
ZAKLJUČEK ................................................................................................................................................ 36
Stran | 4
O SMERNICAH INFORMACIJSKEGA POOBLAŠČENCA
Namen smernic Informacijskega pooblaščenca je podati skupne praktične napotke za upravljavce zbirk osebnih podatkov
na jasen, razumljiv in uporaben način ter s tem odgovoriti na najpogosteje zastavljena vprašanja s področja varstva osebnih
podatkov, s katerimi se srečujejo posamezni upravljavci zbirk osebnih podatkov. S pomočjo smernic naj bi upravljavci dobili
priporočila, kako naj v praksi zadostijo zahtevam Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila
2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive
95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) in Zakona o varstvu osebnih podatkov1.
Ob tem je treba pojasniti tudi razmerje med Splošno uredbo o varstvu podatkov in Direktivo (EU) 2016/680 EP in Sveta z
dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene
preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku
takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/(JHA)PNZ (v nadaljevanju: Direktiva). Ta Direktiva se
uporablja za obdelavo osebnih podatkov, ki jih pristojni organi (javni organi, pristojni za preprečevanje, preiskovanje,
odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javne varnosti
in njihovim preprečevanjem, ali katerikoli drugi organ ali subjekt, ki v skladu s pravom države članice lahko opravlja javne
funkcije ali izvaja javna pooblastila za takšne namene) obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali
pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim
preprečevanjem. Kadar pristojni organi torej obdelujejo osebne podatke posameznikov za naštete namene (torej za
namene npr. preiskovanja in pregona kaznivih dejanj), se uporabljajo določbe Direktive. Kadar pa pristojni organi (npr.: kot
delodajalec) obdelujejo osebne podatke posameznikov (tudi delavcev) za namene, ki so drugačni od namenov Direktive
(npr. vodenje kadrovskih evidenc), se uporabljajo določbe Splošne uredbe o varstvu podatkov. Do sprejema novega
sistemskega zakona za prenos Direktive se v tem delu v celoti uporablja ZVOP-1.
Vse smernice, ki jih je izdal Informacijski pooblaščenec, so objavljene na spletni strani:
https://www.ip-rs.si/publikacije/prirocniki-in-smernice/.
Informacijski pooblaščenec priporoča, da si ogledate tudi:
- mnenja na: http://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/ in
- brošure na: http://www.ip-rs.si/publikacije/prirocniki/.
UVOD
Informacijski pooblaščenec se je za pripravo smernic odločil zaradi številnih vprašanj, ki jih v zvezi z obdelavo osebnih
podatkov v razmerju delodajalec - delavec prejme tako s strani delavcev kot s strani delodajalcev. Čeprav obdelavo osebnih
podatkov na delovnopravnem področju ureja kar nekaj specialnih zakonov (npr. Zakon o delovnih razmerjih2, Zakon o
evidencah na področju dela in socialne varnosti3, Zakon o varnosti in zdravju pri delu4, Zakon o javnih uslužbencih5),
obstajajo številne »sive cone«, ko obdelave osebnih podatkov ne ureja noben zakon in jo je treba presojati od primera do
primera. Težave se ne pojavljajo toliko pri obdelavi t.i. »klasičnih podatkov«, ki jih delavci sami posredujejo delodajalcem
ali jih slednji na ustrezni pravni podlagi pridobijo od drugih upravljavcev osebnih podatkov, ampak pri obdelavi osebnih
podatkov, ki jih lahko delodajalci pridobijo z uporabo številnih novih tehnologij, ki jih uporabljajo za povečanje hitrosti in
učinkovitosti delovnega procesa in tudi za nadzor nad zaposlenimi. Hiter razvoj novih tehnologij namreč daje delodajalcem
1 Uradni list RS, št. 94/2007-UPB1, v nadaljevanju: ZVOP-1. 2 Uradni list RS, št. 21/2013 s spr., v nadaljevanju: ZDR-1 3 Uradni list RS, št. 40/2006, v nadaljevanju: ZEPDSV 4 Uradni list RS, št. 43/2011, v nadaljevanju: ZVZD-1 5 Uradni list Rs, št. 63/2007-UPB3 s spr., v nadaljevanju: ZJU
Stran | 5
nešteto možnosti za nadzor nad zaposlenimi, zaradi česar postaja vprašanje zasebnosti na delovnem mestu vse bolj
kompleksno.
Delodajalec ima pravice, ki izvirajo iz njegove lastnine nad delovnimi sredstvi, delavec pa ima brez dvoma tudi na delovnem
mestu pravico do zasebnosti. Meja pristojnosti delodajalca do nadzora na delovnem mestu in pravic delavca do zasebnosti
na delovnem mestu v Sloveniji izrecno (še) ne ureja noben zakon. Uporaba biometrijskih ukrepov in videonadzor na
delovnem mestu sta sicer trenutno urejena v ZVOP-1, medtem ko še nimamo zakona, ki bi podrobneje urejal uporabo
interneta, elektronske pošte, telefonov, GPS sledilnih naprav ipd. na delovnem mestu.
Pri obdelavi osebnih podatkov v razmerju delavec - delodajalec je treba upoštevati in razumeti tako interese delodajalca kot tudi
interese delavca. Ugotavljanje delovne uspešnosti, čim bolj racionalna izraba delovnega časa in delovnih sredstev,
učinkovitost in varnost delovnega procesa ter nadzor nad njim in preprečevanje morebitnih zlorab so argumenti, ki delodajalce
ženejo k nadzoru zaposlenih. Kljub temu pa bi nad interesi močnejšega delodajalca v določenih okoliščinah morala prevladati
pravica šibkejšega delavca do zasebnosti, do katere je (seveda v razumnih mejah) upravičen tudi na delovnem mestu. Delavca
je namreč treba obravnavati kot posameznika, ki ima poleg obveznosti iz delovnega razmerja tudi pravice osebne narave.
Namen teh smernic je dati praktične napotke oziroma odgovore na največkrat zastavljena vprašanja, ki bodo delodajalcem
kot upravljavcem zbirk osebnih podatkov v pomoč pri zagotavljanju zakonite obdelave osebnih podatkov, delavcem pa pri
uresničevanju njihovih pravic.
ZAKONSKA UREDITEV VARSTVA OSEBNIH PODATKOV V DELOVNIH RAZMERJIH
Delodajalci so upravljavci zbirk osebnih podatkov, saj na različne načine obdelujejo (npr. zbirajo, vpisujejo, spreminjajo,
vpogledujejo, hranijo, posredujejo, uničujejo) osebne podatke delavcev in tudi drugih posameznikov (npr. kandidatov za
zaposlitev, družinskih članov delavcev). Obdelava osebnih podatkov je dopustna le, če imajo delodajalci zanjo ustrezno
pravno podlago.
Za obdelavo osebnih podatkov v okviru delovnih razmerij veljajo splošne pravne podlage za obdelavo osebnih podatkov,
kot so določene v 6. členu Splošne uredbe o varstvu podatkov , ki v prvem odstavku določa, da je obdelava osebnih podatkov
zakonita le in v kolikor izpolnjen eden od naslednjih pogojev:
- posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več
določenih namenov;
- obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni
podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
- obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
- obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge
fizične osebe;
- obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
- obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad
takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni
podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki,
otrok.
Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju
njihovih nalog.
Države pa lahko ohranijo ali uvedejo podrobnejše zakonske določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z
obdelavo osebnih podatkov za zagotovitev skladnosti s tretjo in peto alineo odstavka 1, tako da podrobneje opredelijo
posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave. Prav tako lahko države
same drugače uredijo obdelavo tudi za druge posebne primere obdelave iz poglavja IX Splošne uredbe o varstvu podatkov,
Stran | 6
med drugim za zagotovitev varstva pravic in svoboščin v zvezi z obdelavo osebnih podatkov zaposlenih v okviru zaposlitve,
zlasti za namene zaposlovanja, izvajanja pogodbe o zaposlitvi..
Področje delovnega prava je specialno urejeno v posebnih zakonih tako za javni kot tudi za zasebni sektor, tj. predvsem v
ZEPDSV in ZDR-1. Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je
v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje. Zato na tem področju
praviloma obdelava osebnih podatkov na podlagi privolitve pride v praksi v poštev zgolj izjemoma In če lahko posameznik
resnično brez kakršnihkoli posledic za delovno razmerje privolitev odkloni.
Glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju.
Delodajalec mora za vsak podatek, ki ga zahteva od delavca, izkazati, da njegovo obdelavo določa zakon ali da ga potrebuje
za izvrševanje pravic in obveznosti iz delovnega razmerja. Razlikovanje med javnim in zasebnim sektorjem izhaja načeloma
iz področne ureditve informacij javnega značaja, saj se morajo javni uslužbenci zaradi pravice do dostopa do informacij
javnega značaja nekoliko bolj odpovedati svoji zasebnosti, ko gre za podatke o porabi javnih sredstev ali podatke, povezane
z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca (3. odst. 6. člena Zakona o dostopu do informacij
javnega značaja; ZDIJZ).
ZEPDSV v 12. členu določa vrste evidenc, ki jih morajo voditi delodajalci (evidenca o zaposlenih delavcih, evidenca o
stroških dela, evidenca o izrabi delovnega časa, evidenca o oblikah reševanja kolektivnih delovnih sporov pri
delodajalcu), v 13., 16., 18. in 20. členu pa njihovo vsebino.
V evidenco o zaposlenih delavcih se v skladu s 13. členom ZEPDSV za vsakega delavca, ki je v delovnem razmerju, vpišejo
naslednji podatki:
a) podatki o delavcu:
• osebno ime,
• datum rojstva, če oseba nima EMŠO,
• kraj rojstva,
• država rojstva, če je kraj rojstva v tujini,
• enotna matična številka občana,
• davčna številka,
• državljanstvo,
• naslov stalnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država),
• naslov začasnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država),
• izobrazba,
• ali je delavec invalid,
• kategorija invalidnosti,
• ali je delavec delno upokojen,
• ali delavec opravlja dopolnilno delo pri drugem delodajalcu,
• ime drugega delodajalca (in matična številka), pri katerem delavec opravlja dopolnilno delo,
• naslov drugega delodajalca, pri katerem delavec opravlja dopolnilno delo (ulica, hišna številka, poštna številka, kraj);
b) podatki o delovnem dovoljenju delavca (za tujce);
c) podatki o sklenjeni pogodbi o zaposlitvi;
č) podatki o prenehanju pogodbe o zaposlitvi.
ZDR-1 v 48. členu določa: Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno z
zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim
razmerjem. Osebne podatke delavcev lahko zbira, obdeluje, uporablja in posreduje tretjim osebam samo delodajalec ali
delavec, ki ga delodajalec za to posebej pooblasti. Osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska
Stran | 7
podlaga, se morajo takoj zbrisati in prenehati uporabljati. Določbe prejšnjih odstavkov se uporabljajo tudi za osebne
podatke kandidatov.
Iz navedene določbe ZDR-1 izhaja, da delodajalci (tako v javnem kot tudi v zasebnem sektorju) ne smejo zbirati katerihkoli
osebnih podatkov, ampak le tiste osebne podatke, ki jih potrebujejo za dosego v zakonu določenega namena (uresničevanja
pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem). Določba vključuje načelo najmanjšega obsega
podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov, ki ga je treba upoštevati pri vsaki obdelavi
osebnih podatkov. To določa, da morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za
namene, za katere se obdelujejo. Delodajalec lahko obdeluje tiste delavčeve osebne podatke, ki jih določa ZEPDSV in v
skladu z 48. členom ZDR-1 tiste osebne podatke, za katere izkaže, da jih potrebuje zaradi uresničevanja pravic in
obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravice in obveznosti obeh, torej
delavca in delodajalca.
Osebna privolitev delavca (priporočena je pisna privolitev, ker je v primeru spora enostavno dokazljiva) je dopustna le
izjemoma pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oziroma na delavčev pravni položaj6.
Kadar delavec privoli v obdelavo njegovih osebnih podatkov v enega ali več namenov, je treba upoštevati podrobnejša
določila Splošne uredbe o varstvu podatkov glede pogojev, po katerih se šteje, da je privolitev veljavna, če so izpolnjeni
pogoji za privolitev, ki so določeni v členu 77. Privolitev delavca mora biti konkretna, razumljiva izjava ali drugo nedvoumno
pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da delavec prostovoljno,
specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim. Molk, vnaprej označena
okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Delavec mora torej jasno podati privolitev za zbiranje in
obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je delavec privolil v
obdelavo svojih osebnih podatkov. Delavec ima tudi pravico, da svojo privolitev kadarkoli prekliče. Privolitev namreč ne
sme biti pogojevana ali izsiljena, temveč mora biti povsem prostovoljna. Takšna primera sta npr. zbiranje osebnih podatkov
za namen letovanja v počitniških kapacitetah v lasti delodajalca ali organizacijo izleta, ki se ga lahko udeležijo tudi družinski
člani delavca.
6 Mnenje št. 15/2011 o opredelitvi privolitve, ki ga je sprejela Delovna skupina za varstvo podatkov iz člena 29 dne 13. 7. 2011. 7 Več informacij o privolitvi je na voljo tudi v Smernicah o privolitvi delovne skupine za varstvo podatkov (Article 29 Working Party Guidelines on consent under Regulation 2016/679) .
O VELJAVNOSTI PRIVOLITVE
Privolitev je lahko veljavna le, če ima posameznik, na
katerega se osebni podatki nanašajo, resnično izbiro in
če ne obstaja nevarnost zavajanja, ustrahovanja,
prisiljevanja ali negativnih posledic, če privolitve ne
da. Če posledice privolitve ogrožajo svobodno izbiro
posameznikov, potem privolitev ni prostovoljna. To
velja še posebej v primeru delovnega razmerja, ko je
delavec odvisen od delodajalca zaradi narave razmerja
in ga je strah, da bo drugače obravnavan, če ne privoli v
obdelavo podatkov. Zato je v razmerju delavec –
delodajalec zbiranje osebnih podatkov na podlagi
privolitve dopustno le, če ni res nobenega dvoma o
prostovoljnosti privolitve.
Stran | 8
ODGOVORI NA POGOSTO ZASTAVLJENA VPRAŠANJA
Informacijski pooblaščenec v nadaljevanju podaja odgovore na pogosto zastavljena vprašanja, ki jih je smiselno združil v več
skupinskih sklopov.
1 ZBIRANJE OSEBNIH PODATKOV DELAVCEV
1.1 DELAVČEVA ZASEBNA TELEFONSKA ŠTEVILKA
Ali lahko delodajalec zbira delavčevo zasebno telefonsko številko?
ZEPDSV posebej ne določa možnosti zbiranja zasebnih kontaktnih podatkov delavca (zasebna telefonska številka, zasebni
elektronski naslov), prav tako ti podatki praviloma niso nujno potrebni za uresničevanje pravic in obveznosti iz delovnega
razmerja. Zato jih delodajalec lahko zbira s privolitvijo delavca izrecno za namen lažjega in hitrejšega komuniciranja, ki
naj bi bilo v interesu obeh. V tem primeru mora delodajalec natančno opredeliti, da posredovanje podatkov ni obvezno in
da lahko delavec posreduje enega ali oba podatka, odvisno od tega, na kakšen način želi, če sploh želi, komunicirati z
delodajalcem preko telefona ali elektronske pošte. Delodajalec namreč lahko komunicira z delavcem tudi po navadni pošti
oz. delavcu, če to zahteva organizacija delovnega procesa, dodeli službeni telefon in/ali službeno elektronsko pošto..
Če pa delodajalec določi, da mora biti delavec vedno dosegljiv oziroma je stalna dosegljivost predpisana v notranjih aktih
delodajalca ali v pogodbi o zaposlitvi in kot taka predstavlja obveznost iz delovnega razmerja, mora delodajalec poskrbeti
za ustrezno infrastrukturo, ki omogoča dosegljivost delavca tudi na domu oziroma izven službenih prostorov in delovnega
časa. Kako bo delodajalec to zagotovil, je prepuščeno njemu samemu (npr. s službenim mobilnim telefonom, z
omogočanjem oddaljenega dostopa do službene elektronske pošte). Informacijski pooblaščenec poudarja, da delavec ni
Mojo
številko bi
radi?
Stran | 9
dolžan dati na razpolago svojih sredstev za to, da lahko delodajalec izpolnjuje svoje dolžnosti. Delavec svoja sredstva sicer
lahko da na razpolago delodajalcu, vendar le če to sam želi, po dogovoru tudi z ustrezno odmero uporabnine.
1.2 POTRDILO O NEKAZNOVANOSTI
Ali lahko delodajalec zbira potrdila o nekaznovanosti od kandidatov za zaposlitev in od že zaposlenih delavcev?
V primeru zahteve za pridobitev potrdila o nekaznovanosti od kandidatov za zaposlitev so ključna določila 28. člena ZDR-1,
ki določajo, da sme delodajalec od kandidata zahtevati le predložitev dokazil o izpolnjevanju pogojev za opravljanje dela ter
da mora delodajalec pred sklenitvijo pogodbe o zaposlitvi za nedoločen ali za določen čas seznaniti kandidata z delom,
pogoji dela ter pravicami in obveznostmi delavca in delodajalca, ki so povezane z opravljanjem dela, za katero sklepa
pogodba o zaposlitvi. V skladu z 29. členom ZDR-1 pa je pri sklepanju pogodbe o zaposlitvi kandidat dolžan predložiti
delodajalcu dokazila o izpolnjevanju pogojev za opravljanje dela in ga obvestiti o vseh njemu znanih dejstvih, pomembnih
za delovno razmerje, kot tudi o njemu znanih drugih okoliščinah, ki ga kakorkoli onemogočajo ali bistveno omejujejo pri
izvrševanju obveznosti iz pogodbe ali ki ogrožajo življenje oseb, s katerimi pri izvrševanju svojih obveznosti prihaja v stik. Če
torej delodajalec ocenjuje, da je za določena delovna mesta zaradi narave dela potrebna predhodna nekaznovanost
posameznika, mora to opredeliti kot pogoj za zasedbo določenega delovnega mesta in s tem predhodno seznaniti vse
morebitne kandidate že v objavi prostega delovnega mesta, kar določa ZDR-1 v 25. členu. Pri določanju delovnih mest, za
katera se kot pogoj za zaposlitev zahteva nekaznovanost, mora delodajalec upoštevati načelo najmanjšega obsega
podatkov in kot taka opredeliti zgolj tista delovna mesta, pri katerih obstaja povečano tveganje za oškodovanje
premoženja delodajalca (npr. delovna mesta, kjer delavci rokujejo z gotovino in varnostno občutljivimi podatki, katerih
zloraba bi pomenila veliko materialno škodo, v najhujših oblikah pa ogrozila človeška življenja: ropi, napadi, ugrabitve) ali
kadar tako od delodajalca zahtevajo predpisi (npr. v zvezi z ravnanjem s tajnimi podatki). Zato bi bilo nesorazmerno, če bi
delodajalec zahteval potrdila o nekaznovanosti za vsa delovna mesta in za vsa kazniva dejanja, ampak zgolj npr. za kazniva
dejanja s področja varstva premoženja oziroma življenja.
Glede zahteve po predložitvi potrdila o nekaznovanosti od že zaposlenih delavcev je delodajalec omejen, saj so v času
zaposlitve izpolnjevali vse pogoje. Okoliščina, ko bi npr. delodajalec takšno potrdilo lahko naknadno zahteval, bi nastala v
primeru spremembe sistemizacije za določeno delovno mesto, ko bi se naknadno kot pogoj po novem zahtevala tudi
nekaznovanost ali v primeru zakonske zahteve v zvezi z opravljanjem dela na določenem delovnem mestu (npr. v zvezi s
podajo ponudbe za javno naročilo, z ravnanjem s tajnimi podatki ali vstopanjem v objekte, za katere se zahtevajo posebni
pogoji npr. jedrski objekti). V tem primeru pa se pojavi tudi vprašanje, ki je predvsem delovnopravne narave, in sicer kakšne
možnosti (morebitno premestitev na drugo delovno mesto ali celo prekinitev delovnega razmerja) ima delodajalec na voljo,
če delavec odkloni zahtevo in ne prinese zahtevanega potrdila oziroma, če delavec ni nekaznovan.
1.3 PODATKI O PLAČI PRI BIVŠEM DELODAJALCU
Ali je novi delodajalec upravičen od delavca zahtevati podatke o plači in opravljenih urah v preteklem letu pri bivšem
delodajalcu?
Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju8 v 13. členu določa, da se z obveznim zavarovanjem
zavarovanim osebam zagotavlja med drugim tudi nadomestilo plače med začasno zadržanostjo od dela, v 31. členu pa
določa, da je osnova za nadomestilo povprečna mesečna plača in nadomestila oziroma povprečna osnova za plačilo
prispevkov v koledarskem letu pred letom, v katerem je nastala začasna zadržanost od dela. Po 137. členu ZDR-1 je
delodajalec dolžan izplačati nadomestilo plače iz lastnih sredstev za odsotnost z dela, ki traja do trideset delovnih dni, v
času daljše odsotnosti pa izplača delodajalec nadomestilo plače v breme zdravstvenega zavarovanja.
Glede na navedeno mora delodajalec najkasneje, ko nastopijo takšne okoliščine, razpolagati s podatki, ki mu omogočajo
izračun nadomestila. Pri izračunu nadomestila si lahko pomaga z obrazcem ER-28, iz katerega so razvidni podatki o višini
bruto prejemkov delavca in o številu ur, ki jih je delavec opravil v preteklem letu. Brez podatkov iz obrazca ER-28 torej ni
8 Uradni list RS, št. 72/2006-UPB3, s spr., v nadaljevanju: ZZVZZ.
Stran | 10
mogoč pravilen izračun nadomestila za odsotnost, kar pomeni, da gre za obdelavo podatkov, ki so potrebni zaradi
uresničevanja pravic delavca in izvrševanja dolžnosti delodajalca iz delovnega razmerja. Ob tem Informacijski pooblaščenec
dodaja, da obrazec ER-28 ni obvezen in da za enake namene zadošča potrdilo bivšega delodajalca o delavčevi letni bruto
plači in urni obveznosti.
1.4 ANALIZA PSIHOLOŠKEGA PROFILA DELAVCA
Ali so delavci dolžni izpolniti vprašalnik, ki ga je pripravil delodajalec za namen letnega delovnega sestanka, katerega glavna
tema je analiza psihološkega profila?
Pri psihometričnem testiranju gre za ugotavljanje
določenih osebnostnih lastnosti posameznika s
pomočjo izpolnjevanja različnih vprašalnikov, ki so
sestavljeni skladno s pravili psihološke stroke.
Osebnostne lastnosti posameznika, ki je zaposlen na
določenem delovnem mestu, so brez dvoma
pomembne (na nekaterih delovnih mestih celo
odločilne) za opravljanje del in nalog, zaradi česar je
tudi v četrtem odstavku 28. člena ZDR-1 določeno, da
lahko delodajalec pri zaposlovanju preizkusi znanja
oziroma sposobnosti kandidatov za opravljanje dela,
za katero se sklepa pogodba o zaposlitvi.
Delodajalec lahko na tej podlagi strokovno
usposobljenemu psihologu oziroma instituciji naroči,
da izvede testiranje, ki naj pokaže, kateri od
kandidatov ima lastnosti, ki so za delo na določenem
delovnem mestu zaželene (npr. komunikativnost,
sposobnost za delo v skupini, vodstvene sposobnosti),
pri čemer pa lahko od izvajalca psihometričnega
testiranja dobi zgolj podatek o tem, ali kandidat
ustreza zahtevam ali ne, ni pa upravičen dobiti testov
oziroma odgovorov na posamezna vprašanja.
Psihometrično testiranje delavcev lahko delodajalec izvede tudi v času trajanja delovnega razmerja, vendar samo v primeru,
ko gre za ugotavljanje lastnosti, katerih poznavanje s strani delodajalca je relevantno in nujno z vidika uresničevanja pravic
in obveznosti iz delovnega razmerja oziroma za učinkovito organiziranje delovnega procesa. Takšno testiranje bi sicer lahko
izvedel pod vodstvom strokovnjakov s tega področja tudi v okviru npr. naročene storitve ugotavljanja in spodbujanja
sodelovanja v delovnem kolektivu, vendar se tu pojavlja več težav. Delodajalec namreč lahko zahteva delavčevo prisotnost
na takem dogodku oziroma to lahko določi kot delovno obveznost, ne sme pa zahtevati izpolnitve vprašalnika in s tem
posredovanja osebnih podatkov, če ne izkaže, da je to potrebno za izvrševanje pravic in obveznosti iz delovnega razmerja.
Informacijski pooblaščenec meni, da bi v primeru organiziranih dogodkov, katerih osnovni namen je medsebojno
spoznavanje zaposlenih in spodbujanje sodelovanja, delodajalec moral razmisliti o tem, ali se lahko isti namen doseže tudi
brez obdelave osebnih podatkov delavcev. V primeru analize psiholoških profilov delavcev gre namreč lahko za podatke, z
razkrivanjem katerih bi delodajalec lahko pretirano posegel v delavčevo zasebnost.
1.5 KOPIJE OSEBNIH DOKUMENTOV
Ali sme delodajalec za namen priprave pogodbe o zaposlitvi in vnosa osebnih podatkov v kadrovsko evidenco kopirati osebni
dokument delavca?
Čeprav delodajalci od zaposlenih za namen zagotavljanja točnosti in ažurnosti podatkov v evidencah (npr. sprememba
naslova prebivališča, vnos podatkov v program) ali za pripravo pogodbe o zaposlitvi velikokrat zahtevajo kopije osebnih
Stran | 11
dokumentov, jih za dosego teh namenov kopij ne potrebujejo. V skladu z 18. členom ZVOP-1 lahko namreč pred vnosom v
zbirko osebnih podatkov preverijo točnost osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno
listino posameznika, na katerega se nanašajo. Pri tem lahko delodajalec z osebnega dokumenta prepiše tiste osebne
podatke, za obdelavo katerih ima pravno podlago. To dopuščata tudi Zakon o osebni izkaznici9 v 4. členu in Zakon o potnih
listinah10 v 4.a členu, ki določata pogoje za kopiranje osebnih dokumentov. Ti se lahko za vnaprej določene namene
kopirajo tudi na podlagi pisne privolitve imetnika, pri čemer pa mora biti privolitev podana skladno z določili Splošne uredbe
o varstvu podatkov. Informacijski pooblaščenec poudarja, da četudi bi delavec privolil v kopiranje osebnega dokumenta ali
če bi sam prinesel kopijo, delodajalec ne bi imel pravne podlage za njeno hrambo, saj bi jo moral v skladu s točko (e) prvega
odstavka 5. člena Splošne uredbe o varstvu podatkov, ki določa rok hrambe osebnih podatkov, takoj po dosegu namena
uničiti, tj. po vnosu novih podatkov v zbirko oziroma po pripravi pogodbe o zaposlitvi.
1.6 KOPIJA POTRDILA O DAVČNI ŠTEVILKI IN KOPIJA BANČNE KARTICE
Ali lahko delodajalec zbira kopije potrdila o davčni številki in bančne kartice?
Kopiranje potrdila o davčni številki in bančne kartice s številko osebnega računa (torej debetne in ne posojilne kartice), na
katerega bo delodajalec delavcu izplačeval plače in ostale prejemke, ne pomeni kršitve predpisov s področja varstva osebnih
podatkov, če se delavec s tem strinja. Navedena dokumenta nista osebna dokumenta, vprašanja njunega kopiranja posebej
ne ureja noben zakon (tako kot npr. kopiranja osebne izkaznice in potnega lista), poleg tega na bančni kartici in potrdilu o
davčni številki ni nobenega takšnega osebnega podatka, do katerega delodajalec ne bi bil upravičen. Kljub temu delodajalec
ne sme zahtevati kopij navedenih dokumentov, če jih zaposleni ne želi dostaviti. Če zaposleni svoj račun in davčno številko
dostavi v drugačni obliki, mora delodajalcu to zadoščati.
1.7 KOPIJA IZPISA IZ POROČNE MATIČNE KNJIGE
Ali lahko delodajalec za namen spremembe priimka delavke v svojih evidencah zahteva kopijo izpisa iz poročne matične
knjige?
Delodajalec ima zakonsko podlago za obdelavo podatka o imenu in priimku delavca, pri čemer mora upoštevati tudi načelo
točnosti in ažurnosti osebnih podatkov iz točke (d) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov . To načelo
določa, da morajo biti osebni podatki, ki se obdelujejo, točni in, kadar je to potrebno, posodobljeni.ZVOP-1 pa v drugem
odstavku 18. člena določa tudi, da lahko upravljavec osebnih podatkov pred vnosom v zbirko osebnih podatkov preveri
točnost osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika, na katerega se
nanašajo. To pomeni, da ima delodajalec v zvezi s spremembo priimka pravico, da od delavca zahteva vpogled v osebni
dokument, iz katerega se bo prepričal o novem imenu in priimku. Zato ni nobenega razloga, da bi delodajalec zahteval
kakršenkoli dodaten podatek ali dokument (npr. izpis iz poročne matične knjige), iz katerega bi izhajal razlog za
spremembo priimka. Iz poročnega lista namreč izhaja tako podatek o tem, kaj je razlog za spremembo priimka, kot tudi
osebni podatki zakonca, do katerih pa delodajalec ni upravičen, razen če izkaže, da so podatki potrebni za izvrševanje pravic
in obveznosti iz delovnega razmerja (npr. za davčno olajšavo za vzdrževanega družinskega člana, ki jo sme zaposleni
uveljavljati za zakonca).
1.8 KOPIJA IZPISA IZ ROJSTNE MATIČNE KNJIGE
Ali lahko delodajalec za ugotavljanje števila dni letnega dopusta zahteva fotokopijo rojstnega lista otrok, mlajših od 15 let?
Delodajalec ima na podlagi 48. člena ZDR-1 pravico, da zbira in nadalje obdeluje osebne podatke otrok delavcev, če je to
potrebno zaradi uveljavljanja pravic delavcev iz delovnega razmerja. Takšna je tudi pravica do dodatnega dneva letnega
dopusta za vsakega otroka, ki še ni dopolnil 15 let starosti, in je določena v 159. členu ZDR-1. Če želi delavec uveljavljati to
pravico, kar je zagotovo v njegovem interesu, mora delodajalcu posredovati osebne podatke otroka. Informacijskemu
9 Uradni list RS, št. 35/2011., v nadaljevanju: ZOIzk-1 10 Uradni list RS, št. 62/2009-UPB3, 10/2011, v nadaljevanju: ZPLD
Stran | 12
pooblaščencu se ne zdi sporno, da delavec za namen uveljavljanja dodatnega dneva dopusta delodajalcu predloži »izpisek
iz matičnega registra o rojstvu«, pri čemer lahko na izpisku prekrije vse osebne podatke, razen svojega imena ter imena,
priimka in datuma rojstva otroka.
1.9 PODATEK O DIETNI PREHRANI DELAVCA
Ali sme delodajalec od delavca zahtevati podatek o prehranjevalnem režimu oziroma o tem, kaj zaposleni lahko oziroma
česa ne sme jesti?
Kadar je delodajalec delavcem dolžan zagotoviti topel obrok med delom (npr. če tako določa kolektivna pogodba), je
upravičen do podatka o tem, katero hrano smejo iz zdravstvenih (ali drugih utemeljenih) razlogov delavci jesti, ne pa tudi
do delavčeve diagnoze, iz katere izhajajo omejitve pri prehranjevanju. Le s temi podatki lahko delodajalec zagotovi pravico
delavcev oziroma izvrši svojo dolžnost iz 130. člena ZDR-1, ki delodajalca zavezuje, da delavcu zagotovi med drugim tudi
povračilo stroškov za prehrano med delom. Če delodajalec nudi možnost toplega obroka, ki ga delavec iz utemeljenih
razlogov ne sme uživati, oziroma če delodajalec ne more zagotoviti prehrane, ki bi ustrezala zdravstvenim potrebam
delavca, potem je delavec upravičen do povračila stroškov za prehrano med delom.
1.10 VZROK KORIŠČENJA LETNEGA DOPUSTA
Ali lahko delodajalec zahteva od delavca, da mu pove vzrok koriščenja letnega dopusta?
ZDR-1 v 162. in 163. členu določa le način izrabe letnega dopusta, in sicer ga delavec izrablja v skladu z dogovorom z
delodajalcem. Delavec v dogovoru z delodajalcem sicer lahko navede vzroke, zakaj bi rad letni dopust koristil v točno
določenem času (npr. družinske obveznosti, šolske počitnice otrok) in ne v času, ki ga je določil delodajalec. Tako se bosta
lažje dogovorila za koriščenje letnega dopusta v času, ki ustreza obema. Delavec torej lahko razkrije vzrok (razlog)
koriščenja letnega dopusta, če tako želi, ni pa tega podatka delodajalcu dolžan posredovati oziroma ga delodajalec nima
pravice zahtevati.
1.11 PRIDOBITEV OSEBNIH PODATKOV KANDIDATA OD TRENUTNEGA DELODAJALCA
Ali se lahko podjetje, kamor se je kandidat prijavil na razpis za zaposlitev, o tem kandidatu pozanima pri njegovem sedanjem
delodajalcu?
V skladu z 28. členom ZDR-1 sme delodajalec od kandidata zahtevati le predložitev dokazil o izpolnjevanju pogojev za
opravljanje dela in pri sklepanju pogodbe o zaposlitvi ne sme od kandidata zahtevati podatkov o družinskem oziroma
zakonskem stanu, podatkov o nosečnosti, o načrtovanju družine oziroma drugih podatkov, če niso v neposredni zvezi z
delovnim razmerjem. Kandidat pa mora v skladu z 29. členom ZDR-1 pri sklepanju pogodbe o zaposlitvi predložiti
delodajalcu dokazila o izpolnjevanju pogojev za opravljanje dela in ga obvestiti o vseh njemu znanih dejstvih, pomembnih
za delovno razmerje, kot tudi o njemu znanih drugih okoliščinah, ki ga kakorkoli onemogočajo ali bistveno omejujejo pri
izvrševanju obveznosti iz pogodbe ali ki lahko ogrožajo življenje ali zdravje oseb, s katerimi pri izvrševanju svojih obveznosti
prihaja v stik. Kandidat ni dolžan odgovarjati na vprašanja, ki niso v neposredni zvezi z delovnim razmerjem.
ZDR-1 torej ne predvideva možnosti bodočega delodajalca, da navedbe kandidata preverja pri trenutnem ali prejšnjem
delodajalcu, zato takšno pridobivanje osebnih podatkov kandidata ni dopustno. Če so podatki pomembni za sklenitev
delovnega razmerja (predvsem z vidika dokazovanja delovnih izkušenj za delo, na katero se nanaša razpis), lahko od
kandidatov eventualno zahteva predložitev priporočila ali potrdila o delovnih izkušnjah.
1.12 FOTOGRAFIRANJE DELAVCA
Ali lahko delodajalec fotografira delavca, ki ne opravlja svojega dela?
Informacijski pooblaščenec meni, da ne bi prišlo do nezakonite obdelave (zbiranja) osebnih podatkov, če bi delodajalec ob
nadzoru dela fotografiral delavca, ki očitno krši svoje delovne obveznosti, npr. če bi med kontrolo dela v nočnem času
delodajalec oziroma njegova pooblaščena oseba fotografirala spečega delavca, saj bi fotografijo pridobil v zvezi z delovnim
Stran | 13
razmerjem, in sicer zaradi zaščite svojih pravic iz pogodbe o zaposlitvi. V skladu z načelom najmanjšega obsega podatkov
iz točke (c) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov pa sme delodajalec to fotografijo obdelovati (npr.
hraniti, posredovati) samo za namene dokazovanja v disciplinskem postopku ali delovnopravnem sporu in samo toliko časa,
dokler ti postopki trajajo. Podlago za takšno obdelavo osebnih podatkov mu daje 48. člen ZDR-1. V splošnem pa delodajalec
nima splošne pravice fotografirati svojih zaposlenih (npr. ko so na odmoru, med splošno sprejetimi družabnimi dogodki,
kot so praznovanja rojstnih dni in podobno) brez njihovega soglasja.
1.13 PODATEK O VELJAVNOSTI VOZNIŠKEGA DOVOLJENJA
Ali lahko delodajalec v pravilnik o uporabi službenih vozil in pogodbo o uporabi službenega vozila vnese določilo, da je
delavec dolžan sporočiti delodajalcu, če mu je bilo odvzeto vozniško dovoljenje?
Delodajalec ima pravno podlago za pridobitev podatka o tem, ali ima delavec veljavno vozniško dovoljenje, v 48. členu ZDR-
1, vendar ne od vseh delavcev, ampak le od tistih, ki pri opravljanju dela uporabljajo službena vozila oz. so zaposleni na
delovnih mestih, za katera se kot pogoj zahteva opravljen vozniški izpit določene kategorije. Delavec, katerega delo
vključuje uporabo službenega (ali po dogovoru lastnega) vozila, brez veljavnega vozniškega dovoljenja ne more izpolnjevati
pogodbenih obveznosti, zato je že po 36. členu ZDR-1 dolžan obvestiti delodajalca o prenehanju veljavnosti vozniškega
dovoljenja. Ta člen določa, da mora delavec obveščati delodajalca o bistvenih okoliščinah, ki vplivajo oziroma bi lahko
vplivale na izpolnjevanje njegovih pogodbenih obveznosti, in o vseh spremembah podatkov, ki vplivajo na izpolnjevanje
pravic iz delovnega razmerja. Zato vključitev določila, da je npr. uporabnik službenega vozila dolžan sporočiti delodajalcu,
da mu je bilo odvzeto vozniško dovoljenje, v interni akt, ni v nasprotju s Splošno uredbo o varstvu podatkov.
1.14 PODATEK O ČLANSTVU V SINDIKATU
Ali sme delodajalec od delavca zahtevati, da mu posreduje podatek o članstvu v sindikatu?
V skladu z 9. členom Splošne uredbe o varstvu podatkov je podatek o članstvu v sindikatu »posebne vrste osebni podatek«,
ki ga je praviloma prepovedano obdelovati, razen v desetih taksativno določenih primerih (po ZVOP-1 je veljalo podobno,
pri čemer se je uporabljal termin »občutljiv osebni podatek«). Obdelava je tako med drugim izjemoma dopustna, če
delodajalec razpolaga z izrecno osebno privolitvijo ali če je obdelava teh podatkov potrebna zaradi izpolnjevanja obveznosti
in posebnih pravic upravljavca osebnih podatkov na področju delovnega prava v skladu z zakonom, ki določa tudi ustrezna
jamstva pravic posameznika. Takšen primer je obračun sindikalne članarine za delavca (če je delavec izbral tak način
plačevanja), ki ga dejansko ni mogoče izvesti brez podatka o tem, v kateri sindikat je včlanjen.
Delavec lahko plačuje sindikalno članarino na dva načina, in sicer tako, da jo plačuje sindikatu neposredno sam ali pa tako,
da tehnično izvedbo obračuna in plačevanja sindikalne članarine na zahtevo sindikata, katerega član je delavec, skladno s
tretjim odstavkom 207. člena ZDR-1 zagotavlja delodajalec v skladu z aktom sindikata. Glede na navedeno določilo je IP v
preteklosti štel, da delodajalec ni upravljavec zbirke osebnih podatkov v zvezi z nakazili sindikalne članarine, ampak
pogodbeni obdelovalec v skladu s 7. točko 6. člena ZVOP-1. Z razvojem prakse na področju varstva osebnih podatkov se je
tolmačenje IP spremenilo.
Po aktualni praksi IP šteje, da je delodajalec upravljavec osebnih podatkov v zvezi z tehnično izvedbo obračuna in
plačevanjem sindikalne članarine, ki jo izvede po pooblastilu delavca v skladu z akti sindikata in na zahtevo sindikata. Po
aktualnem stališču IP delodajalec z zagotavljanjem »tehnične izvedbe obračuna in plačevanja sindikalne članarine za
delavca« ne deluje v imenu sindikata, temveč obdeluje osebne podatke svojih zaposlenih v njihovem imenu oz. po njihovem
pooblastilu v povezavi z internimi akti sindikata. Podlago za obdelavo osebnih podatkov delavca delodajalcu predstavlja
določba tretjega odstavka 207. člena ZDR-1 v povezavi z določbo člena 9 (2) (b) Splošne uredbe o varstvu podatkov in
pooblastilom delavca. Obdelavo torej izvede delodajalec, a zgolj na podlagi pooblastila delavca.
Tretji odstavek 207. člena ZDR-1 daje v zvezi s tem sindikatu pravico, da zahteva od delodajalca tehnično izvedbo obračuna
in plačevanja sindikalne članarine za delavca, a le če se delavec tako odloči oz. s tem strinja. Sindikat mora torej za izvedbo
svoje zakonske pristojnosti, ki pa je primarno odvisna od takšne odločitve delavca, v aktih urediti plačevanje članarine prek
Stran | 14
delodajalca. Sindikat nedvomno nastopa kot upravljavec osebnih podatkov delavcev – svojih članov. Pravna podlaga za
posredovanje podatkov delodajalcu pa izhaja iz ustreznega pooblastila oz. privolitve delavca v povezavi z internimi akti
sindikata. IP se v okviru svojih pristojnosti ne more spuščati v vprašanja, na kakšen način smejo sindikati postavljati pogoje
plačevanja članarin in pridobivanje pooblastil delavcev.
Z akti sindikata morajo biti delavci seznanjeni pred včlanitvijo v sindikat, saj je s tem povezana tudi obdelava njihovih
osebnih podatkov, če se za članstvo in tak način plačevanja članarine odločijo. Zahteve po obveščanju posameznika izvirajo
iz določb členov 12 - 14 Splošne uredbe o varstvu podatkov in nalagajo, da upravljavec posameznike jasno, razumljivo in na
dostopen način seznani z nameni obdelave, pravno podlago in drugimi okoliščinami varstva osebnih podatkov.
Podlaga za obdelavo osebnih podatkov delavcev – članov sindikata v okviru sindikata (in ne izven njega, torej brez
posredovanja tretjim) sicer izhaja za sindikat iz člena 9 (2) (d) Splošne uredbe o varstvu podatkov, ki določa, »da lahko
obdelavo posebnih vrst osebnih podatkov v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova,
združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se
obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni,
ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni
podatki.« Glede na navedeno IP opozarja, da je treba za vse ostale primere, ko druga pravna podlaga ne obstaja, zagotoviti
veljavno privolitev člana, ko gre za posredovanje osebnih podatkov članov sindikata izven sindikata. Zato na tem mestu IP
opozarja, da so pogoji veljavne privolitve po Splošni uredbi o varstvu podatkov strožji, kot je veljalo doslej.
1.15 PODATKI O INVALIDNOSTI
Do katerih podatkov o invalidnosti je upravičen delodajalec?
Delavec je delodajalca dolžan seznaniti s kategorijo invalidnosti, kar določa že 13. člen ZEPDSV, in omejitvami, ki so posledica
invalidnosti (npr. prepoved dvigovanja bremen, prepoved dela na višini, delo s polovičnim delovnim časom), da lahko
delodajalec oceni, ali sploh ima primerno delovno mesto, ali lahko delovno mesto prilagodi delovnim sposobnostim in
potrebam invalida, ali je potrebno invalidu zagotoviti strokovno in tehnično podporo (informiranje, svetovanje in
usposabljanje, osebno asistenco, spremljanje pri delu, razvoj osebnih metod dela). Navedeno delavec dokaže z odločbo
Zavoda za pokojninsko in invalidsko zavarovanje Slovenije.
Delodajalec lahko od kandidata za zaposlitev zbira le tiste osebne podatke, ki so potrebni za presojo o
tem, ali ima kandidat ustrezna znanja in izkušnje oziroma ali izpolnjuje pogoje, določene v objavi prostega delovnega
mesta. Pri tem mora upoštevati načelo najmanjšega obsega podatkov in nabor osebnih podatkov prilagoditi
delovnemu mestu. Za ta namen delodajalec še ne potrebuje npr. EMŠO in davčne številke, številke transakcijskega
računa, podatkov o otrocih. Ko pa delodajalec izbere kandidata in z njim sklene pogodbo o zaposlitvi, pridobi osebne
podatke, ki jih mora obdelovati v evidencah v skladu z ZEPDSV, in vse ostale podatke, ki so potrebni za uresničevanje
pravic in obveznosti iz delovnega razmerja (npr. konfekcijsko številko za delovni plašč, podatke o otrocih za izračun
letnega dopusta).
Delodajalec lahko od delavca zbira le tiste osebne podatke, ki jih določa zakon (ZEPDSV, ZDR-1 ali drug področni
zakon) in tiste osebne podatke, za katere ima osebno privolitev delavca. Ob tem je treba poudariti, da je obdelava
osebnih podatkov delavca na podlagi njegove osebne privolitve dopustna le, če lahko delavec privolitev brez posledic za
delovno razmerje odkloni.
Stran | 15
Zbiranje osebnih podatkov delavcev
(primeri za lažje razumevanje)
vedno
EMŠO davčna številka naslov prebivališča
režim gibanja v času bolniške odsotnosti
nikoli
diagnoza bolezni ali poškodbe narodnost
načrtovanje nosečnosti
če izkaže, da podatek potrebuje
fotografija potrdilo o nekaznovanosti
podatki o otrocih podatek o vozniškem dovoljenju
podatek o zakonskem stanu in podatki o partnerju podatki o dietni prehrani številka obutve in oblačil
podatek o tem, ali je delavec samohranilec
e-naslov telefonska številka
fotografija
NE POZABITE –
O VELJAVNOSTI
PRIVOLITVE
Stran | 16
2 OBJAVA IN POSREDOVANJE OSEBNIH PODATKOV DELAVCEV
2.1 PODATKI IZ EVIDENCE DELOVNEGA ČASA
Ali lahko delavci vidijo podatke o prisotnosti oziroma odsotnosti ter razloge za odsotnost (ime in priimek delavca, prisotnost,
letni dopust, izredni dopust, bolniški stalež itd.) za vse svoje sodelavce?
Podatki o prisotnosti oziroma odsotnosti posameznega delavca se lahko sodelavcem na podlagi 48. člena ZDR-1 razkrijejo
pod pogojem, da je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja in v povezavi z delovnim
razmerjem. Za te namene lahko delodajalec delavce znotraj posamezne organizacijske enote seznanja z razporedi dela, iz
katerih je razvidno osebno ime delavca in njegova zadolžitev, poleg tega pa tudi s predvideno ali nepredvideno odsotnostjo
posameznega delavca in v določenih primerih, če je to potrebno tudi z razlogom za odsotnost (npr. službena pot, dopust,
daljša druga odsotnost ipd.), če je takšno obveščanje povezano z delovnim razmerjem oz. delom, ki ga delavec opravlja ter
zaradi tega sestavni del poslovanja vsakega poslovnega subjekta in je med drugim povezano tudi z dolžnostjo delodajalca,
da delavcem zagotovi pravico do obveščenosti.
V primeru, ko gre za javne uslužbence in je delodajalec zavezanec za posredovanje informacij javnega značaja, bi bil podatek
o času in razlogu odsotnosti delavca, če bi šlo za razlog službene narave (npr. odsotnost zaradi službene poti), lahko
dostopen tudi javnosti. Gre namreč za podatke, ki so povezani z opravljanjem delovnega razmerja javnega uslužbenca in za
podatke o porabi javnih sredstev, ki na podlagi tretjega odstavka 6. člena Zakona o dostopu informacij javnega značaja11 ne
sodijo med varovane osebne podatke.
2.2 PODATEK O DELAVČEVI IZOBRAZBI NA DELODAJALČEVI SPLETNI STRANI
Ali lahko delodajalec na svoji spletni strani objavi podatek o izobrazbi delavca in ali ga mora na zahtevo delavca izbrisati?
Iz drugega odstavka 106. člena ZVOP-1 izhaja, da lahko delodajalec objavi osebna imena, nazive ali funkcije, službene
telefonske številke in naslove službene elektronske pošte predstojnika in tistih zaposlenih, katerih delo je pomembno zaradi
poslovanja s strankami oziroma uporabniki storitev. Omenjena določba predstavlja, ne glede na to, ali gre za delodajalca v
javnem ali zasebnem sektorju, pravno podlago za objavo naštetih osebnih podatkov delavcev. Navedena določba ZVOP-1
ne vključuje podatka o izobrazbi, ki se v zasebnem sektorju za razliko od javnega sektorja (podatek o izobrazbi javnih
uslužbencev je v skladu z ZDIJZ javno dostopen) šteje med varovane osebne podatke, zato ga delodajalec lahko objavi le, če
izkaže, da je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim
razmerjem. V tem primeru ne potrebuje soglasja delavca, ker ima za objavo podlago v 48. členu ZDR-1. Če pa objava tega
podatka ni potrebna za uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, mora
delavec imeti možnost, da v takšno obdelavo osebnih podatkov privoli ali jo brez posledic zanj odkloni. V primeru, da
delavec svojo privolitev naknadno prekliče, mora delodajalec podatek o izobrazbi umakniti s spletne strani.
Naslov e-pošte zaposlenega? Za namene neposrednega trženja je dopustna uporaba tistih osebnih elektronskih
naslovov uslužbencev oziroma predstavnikov, ki jih pravne osebe zakonito javno objavljajo kot kontaktne podatke za
poslovanje s pravno osebo. Zato je pomembno, da organizacije pazljivo presodijo, katere so tiste osebe, katerih narava
dela je takšna, da je objava njihovega e-naslova pomembna za komunikacijo organizacije s svojimi strankami (106. čl. ZVOP-
1) in kdaj se želeni cilj lahko doseže že z objavo splošnega e-naslova organizacije. Zavedati se morajo, da obstaja nevarnost,
da na te naslove posledično pride tudi večja količina nezaželene e-pošte, med katero so lahko tudi nevarna sporočila, ki
lahko ogrozijo varnost organizacije (t.i. phishing sporočila, ki vodijo v zlorabo podatkov, virusi ipd.).
11 Uradni list RS, št. 51/2006-UPB2, s spr.
Stran | 17
2.3 PODATKI O KORIŠČENJU POČITNIŠKIH KAPACITET NA OGLASNI DESKI
Ali delodajalec lahko objavi (npr. na oglasni deski tako, da to vidijo vsi delavci) ime in priimek zaposlenega, ki bo koristi l
oziroma je bil izbran za koriščenje počitniške kapacitete?
Takšna objava osebnih podatkov delavca ni potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v
zvezi z delovnim razmerjem (48. člen ZDR-1), zato bi bila dopustna le na podlagi vnaprejšnje in informirane (kateri osebni
podatki, kje in za kakšen namen bodo objavljeni) osebne privolitve delavca, pri čemer zavrnitev privolitve ne sme imeti
posledic za delovno razmerje ali širše pravice delavca. Če je npr. takšna objava za namene transparentnosti postopka
dodeljevanja vnaprej predvidena v aktih delodajalca, ki določajo pravila za dodelitev počitniških kapacitet in so delavcem
vnaprej dostopna, pa bi se že prijava na razpis lahko štela kot privolitev tudi za objavo.
2.4 OBJAVA INTERNEGA TELEFONSKEGA IMENIKA NA INTRANETU
Ali lahko delodajalec v telefonskem imeniku na intranetu objavi ime in priimek delavca, naziv delovnega mesta, službeni
stacionarni in mobilni telefon, naslov e-pošte ter fotografijo delavca?
Ime in priimek, delovno mesto in službena telefonska številka, prav tako službeni e-naslov in službeni mobilni telefon,
gotovo sodijo med ključne podatke, potrebne zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z
delovnim razmerjem, saj so potrebni za učinkovito komunikacijo med zaposlenimi, zato je njihova objava na intranetu
podjetja, kjer so vidni zgolj zaposlenim, legitimna in zanjo ni potrebna privolitev delavca. Navedenega ni primerno posplošiti
na javno dostopne spletne strani podjetja! Fotografija delavca predstavlja izjemo, saj načeloma ni nujno potrebna za
izvajanje pogodbe o zaposlitvi. Zato je z vidika varstva osebnih podatkov objava fotografije delavca v internem telefonskem
imeniku dopustna le, če imajo delavci možnost izbire, kar pomeni, da lahko objavo fotografije brez posledic prepovejo ali
pa delodajalcu pošljejo fotografijo oziroma se za ta namen pri njem fotografirajo.
2.5 OBJAVA FOTOGRAFIJ ZAPOSLENIH NA SPLETNI STRANI PODJETJA
Ali lahko delodajalec na spletni strani podjetja objavi fotografije zaposlenih?
Objava fotografij zaposlenih na spletni strani podjetja, profilu podjetja na družabnem omrežju itd. je dopustna, če je to
nujno zaradi uresničevanja pravic in obveznosti, ki izhajajo iz delovnega razmerja oziroma iz narave delovnega razmerja
(npr. slike fotomodela) ali če je podana prostovoljna privolitev posameznika. Če okoliščine delovnega razmerja ne terjajo
objave fotografije zaposlenega (npr. računovodja), se ga v to ne sme prisiliti niti takšna objava ni dopustna brez njegovega
soglasja.
3 VARNOST IN ZDRAVJE PRI DELU
3.1 SEZNANITEV Z RAZLOGI ZA OMEJITVE PRI DELU
Ali lahko delodajalec od zdravnika medicine dela zahteva razloge, zakaj delavec ne sme delati na višini?
Peti odstavek 28. člena ZDR-1 določa, da zaradi ugotovitve kandidatove zdravstvene zmožnosti za opravljanje dela
delodajalec na svoje stroške napoti kandidata na predhodni zdravstveni pregled v skladu s predpisi o varnosti in zdravju pri
delu. Pravilnik o preventivnih zdravstvenih pregledih delavcev12 v 15. členu določa, da pooblaščeni zdravnik medicine dela
v desetih dneh po končanem preventivnem zdravstvenem pregledu posreduje delodajalcu oceno o delavčevem
izpolnjevanju posebnih zdravstvenih zahtev za določeno delo v delovnem okolju. Pooblaščeni zdravnik o rezultatu pregleda
takoj obvesti delavca, njegovega izbranega osebnega zdravnika in delodajalca, če je pri pregledu ugotovljena takšna okvara
12 Uradni list RS, št. 87/2002 s spr., v nadaljevanju: PPZPD.
Stran | 18
zdravja delavca, ki ogroža njegovo življenje oziroma njegovo delovno zmožnost. Med podatki, s katerimi se delodajalec
lahko seznani, so omejitve, ki se vpisujejo v obrazec Zdravniško spričevalo z oceno izpolnjevanja posebnih zdravstvenih
zahtev po opravljenem predhodnem preventivnem zdravstvenem pregledu ali obrazec Zdravniško spričevalo z oceno
izpolnjevanja posebnih zdravstvenih zahtev po opravljenem usmerjenem obdobnem ali drugem usmerjenem preventivnem
zdravstvenem pregledu. Delodajalec ni upravičen do podatkov o razlogih za morebitne omejitve, diagnoze, vrste bolezni
oziroma do drugih zdravstvenih podatkov pregledanega delavca.
3.2 PREVERJANJE ALKOHOLIZIRANOSTI DELAVCA
Na kakšen način lahko delodajalec preverja, ali je zaposleni pod vplivom alkohola?
Delodajalec ima v primeru suma, da je delavec pod vplivom alkohola, po ZVZD-1, ki v 51. členu določa, da delavec ne sme
delati ali biti na delovnem mestu pod vplivom alkohola, drog ali drugih prepovedanih substanc, pravico in hkrati (v primeru
suma na npr. alkoholiziranost) tudi dolžnost preverjati sposobnost delavca za izvrševanje njegovih delovnih obveznosti.
Delodajalec mora takega delavca (npr. pod vplivom alkohola) odstraniti z dela, delovnega mesta in iz delovnega procesa.
Če ne ravna tako, se šteje, da ogroža svojo varnost in zdravje ter varnost in zdravje drugih, s čimer huje krši obveznosti iz
delovnega razmerja. Uživanje alkohola, drog ali drugih prepovedanih substanc s strani delavca delodajalec ugotavlja po
postopku in na način, določen v internem aktu, s katerimi mora vnaprej seznaniti delavce. Delodajalec lahko alkoholiziranost
zaposlenega preverja sam preko osebe, ki je pri njem zaposlena in jo je pooblastil za opravljanje tovrstnih testov, ali pa
preko tretje osebe, ki je registrirana za opravljanje takšne dejavnosti in ima delodajalec z njo sklenjeno pogodbo ali drug
pravni akt v skladu z 28. členom Splošne uredbe o varstvu podatkov, tj. pogodbo ali drug pravni akt o obdelavi osebnih
podatkov (rezultatov testa alkoholiziranosti) zaposlenih. Vsekakor pa samo preverjanje alkoholiziranosti ne more potekati
brez sodelovanja delavca oziroma pod delodajalčevo prisilo, pri čemer mora biti delavec v internem aktu in pred
preverjanjem alkoholiziranosti ali drugim tovrstnim testiranjem opozorjen na posledice odklonitve takšnega testa (npr.
takojšnja odstranitev z dela).
3.3 REZULTATI TESTIRANJ NA ALKOHOL, PSIHOAKTIVNE SNOVI IN PREPOVEDANE DROGE
Ali je dopustno, da izvajalec medicine dela delodajalcu posreduje rezultate testiranj na alkohol, psihoaktivne snovi in
prepovedane droge?
Iz PPZPD izhaja, da se na obrazec zdravniškega spričevala ne zapisuje konkretnih podatkov o zdravstvenem stanju. Izjemo
predstavlja podatek o dejstvu in ravni alkoholiziranosti, če je bil delavec ob zaznanem sumu na alkoholiziranost napoten
na usmerjen preventivni zdravstveni pregled k izvajalcu medicine dela v skladu s postopki, predpisanimi v internih aktih.
Gre namreč za podatek, ki ga lahko, če delavec v to privoli, ugotavlja tudi delodajalec sam, podatek pa je potreben zaradi
ugotavljanja odstopanja od predpisanega tolerančnega praga in za določanje višine morebitne sankcije, zaradi česar je
podana pravna podlaga za njegovo obdelavo v 48. členu ZDR-1.
Drugače je pri testiranju na prepovedane droge in druge psihoaktivne snovi, četudi je delodajalec delavca zaradi suma
napotil na usmerjen preventivni zdravstveni pregled. Tu podlaga v 48. členu ZDR-1 ne pride v poštev, saj delodajalec ne
potrebuje točnega podatka o tem, za katero psihoaktivno snov gre in kakšna je raven oziroma kaj konkretno je vzrok
delavčevega stanja. Zato sme izvajalec medicine dela delodajalcu posredovati le informacijo o delazmožnosti in s tem
podatek o tem, ali je bil delavec pod vplivom prepovedanih drog in drugih psihoaktivnih snovi ali ne. Če delavec dela ni
mogel opravljati iz upravičenih razlogov (npr. zastrupitev, neželeni učinki zdravil, pomotno predoziranje z zdravili), lahko te
razloge delodajalcu sporoči tako, da mu sam pokaže izvid izvajalca medicine dela.
V primeru splošnega preventivnega zdravstvenega pregleda izvajalec medicine dela ne sme delodajalcu z zapisi na
zdravniškem spričevalu ali na kakšen drug način sporočati konkretnih rezultatov testiranj na alkohol ter druge psihoaktivne
snovi in prepovedane droge.
Stran | 19
3.4 ZDRAVSTVENA DOKUMENTACIJA O NEZGODI PRI DELU
Ali lahko delodajalec v okviru raziskave okoliščin nastanka nezgode pri delu od delavca zahteva predložitev zdravstvene
dokumentacije, iz katere bi bila razvidna skladnost podatkov s podatki, navedenimi v prijavi nezgode pri delu?
41. člen ZVZD-1 določa, da mora delodajalec inšpekciji dela takoj prijaviti vsako nezgodo pri delu s smrtnim izidom oziroma
nezgodo pri delu, zaradi katere je delavec nezmožen za delo več kot tri delovne dni, kolektivno nezgodo, nevarni pojav in
ugotovljeno poklicno bolezen. Za poškodbo pri delu in za poklicno bolezen se štejejo poškodbe in bolezni v skladu z Zakonom
o pokojninskem in invalidskem zavarovanju13. Obrazec za prijavo poškodbe pri delu (gre za predpisan obrazec ER8) mora
delodajalec izpolniti v štirih izvodih. Obrazec nato potrdi/zavrne izbrani osebni zdravnik poškodovanca oziroma poda
poročilo o poškodbi. En izvod obrazca se vrne delodajalcu, en izvod se hrani v medicinski dokumentaciji poškodovanca pri
izbranemu osebnemu zdravniku, dva izvoda pa osebni zdravnik posreduje območni enoti oziroma izpostavi ZZZS, saj gre v
primeru priznanja poškodbe pri delu nadomestilo plače v celoti v breme obveznega zdravstvenega zavarovanja. Prijava
poškodbe s strani delodajalca in potrditev pri zdravniku pomeni, da je delavec upravičen do izplačila 100% nadomestila za
čas bolniške odsotnosti (29. in 31. člen ZZVZZ).
Delodajalec nima zakonske podlage, da bi od delavca v primeru poškodbe pri delu zahteval vpogled v zdravstveno
dokumentacijo oziroma v izvide, iz katerih izhaja, da je do poškodbe resnično prišlo pri izvajanju delovnih obveznosti. Po
ZVZD-1 je nezgoda pri delu nepredviden oziroma nepričakovan dogodek na delovnem mestu ali v delovnem okolju, ki se
zgodi v času opravljanja dela ali izvira iz dela, in ki povzroči poškodbo delavca. Te okoliščine pa je mogoče ugotavljati povsem
laično, torej brez vpogleda v izvide, poleg tega delodajalec (praviloma) nima znanj, ki bi mu omogočala strokovno oceno o
tem, ali narava poškodbe (zdravstveno stanje) delavca dejansko izhaja iz škodnega dogodka. V primeru spora o tem, ali gre
resnično za poškodbo pri delu ali ne, bi odločitev moralo sprejeti pristojno delovno sodišče.
3.5 PODATKI V ZVEZI S KONTROLO BOLNIŠKEGA STALEŽA
Katere osebne podatke delavca lahko delodajalec pridobi za namen kontrole bolniškega staleža in kako lahko izvaja
kontrolo?
Kontrola bolniškega staleža, ki se zaradi zbiranja, posredovanja in uporabe s tem povezanih osebnih podatkov šteje kot
obdelava osebnih podatkov, je v določenih primerih potrebna zaradi uresničevanja pravic in obveznosti iz delovnega
razmerja. 110. člen ZDR-1 v 8. alineji namreč določa, da lahko delodajalec delavcu izredno odpove pogodbo o zaposlitvi, če
delavec v času odsotnosti z dela zaradi bolezni ali poškodbe ne spoštuje navodil pristojnega zdravnika ali zdravstvene
komisije ali če v tem času opravlja pridobitno delo ali če brez odobritve pristojnega zdravnika ali zdravstvene komisije
odpotuje iz kraja svojega bivanja. Kontrolo bolniškega staleža in s tem povezano obdelavo osebnih podatkov delavcev
lahko delodajalec izvaja sam ali pa jo na podlagi 28. člena Splošne uredbe o varstvu podatkov zaupa pogodbenemu
obdelovalcu, to je fizični ali pravni osebi, javnemu organu, agenciji ali drugemu telesu, ki obdeluje osebne podatke v
njegovem imenu in za njegov račun. Delodajalci za kontrolo bolniškega staleža največkrat najamejo zasebne detektive,
saj v skladu s 26. členom Zakona o detektivski dejavnosti14 sodi v detektivovo delovno področje tudi pridobivanje informacij
o zlorabah pravice do zadržanosti z dela zaradi bolezni ali poškodbe, zlorabah uveljavljanja pravice do povračila stroškov
prevoza na delo in z dela, dela pod vplivom alkohola ali prepovedanih drog ter o drugih disciplinskih kršitvah in kršilcih.
Delodajalec oziroma v njegovem imenu detektiv lahko pridobi podatke o režimu gibanja delavca (navodila zdravnika o
morebitnem strogem počitku ali dopustnem gibanju) med bolniško odsotnostjo in podatek o predvidenem času
odsotnosti, ker brez njih ne more ukrepati ob sumu zlorabe bolniškega staleža in organizirati dela oziroma zagotoviti
nadomeščanja odsotnega delavca. Podatke lahko pridobi od zaposlenega ali od njegovega osebnega zdravnika, ki pa
podatkov ni dolžan posredovati.
Delodajalec ima pravno podlago tudi za pridobitev podatka o razlogu (npr. bolezen, poškodba izven dela, poklicna bolezen,
poškodba pri delu, nega) začasne zadržanosti od dela, saj ga potrebuje za obračun nadomestila plače med začasno
13 Uradni list RS, št. 96/2012 s spr., v nadaljevanju ZPIZ-2 14 Uradni list RS, št. 17/2011, v nadaljevanju: ZDD-1
Stran | 20
zadržanostjo, nima pa pravne podlage za pridobitev diagnoze bolezni oziroma poškodbe. Podatek o razlogu zadržanosti
dobi delodajalec na bolniškem listu (obrazec Potrdilo o upravičeni zadržanosti od dela – Obr. BOL), ki ga prinese delavec ob
koncu meseca, če pa gre za bolniški stalež nad 30 dni, pa dobi odločbo ZZZS, v kateri je poleg tega podatka naveden tudi
režim gibanja delavca v času odsotnosti.
3.6 PRIDOBITEV PODATKA O KRŠITVI BOLNIŠKEGA STALEŽA S FACEBOOKA
Ali lahko delodajalec preko Facebooka (gre za javno dostopne podatke glede na ustvarjen profil delavca) pridobi podatke,
da je bil delavec v času zadržanosti od dela zaradi bolezni izven kraja bivanja in te podatke uporabi za dokazovanje v
postopku izredne odpovedi pogodbe o zaposlitvi?
Pridobitev (predvsem na način vpogleda v javno dostopni profil in zabeleženja uradnega zaznamka o tem) osebnih podatkov
iz javno dostopnih virov (npr. pridobitev fotografije in osebnih podatkov z odprtega Facebook profila delavca) ne pomeni
kršitve določb Splošne uredbe o varstvu podatkov. Kljub temu je treba opozoriti, da dejstvo, da so določeni osebni podatki
javno dostopni, še ne pomeni, da se lahko ti podatki uporabljajo za kakršen koli namen, npr. za vzpostavitev nove zbirke
osebnih podatkov. Točka (b) prvega odstavka 5. člena tako določa, da morajo biti osebni podatki zbrani za določene, izrecne
in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene
arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s
členom 89(1) Splošne uredbe o varstvu podatkov ne velja za nezdružljivo s prvotnimi nameni.
Uporaba fotografij in podatkov, pridobljenih z odprtega Facebook profila delavca, pri vodenju postopka izredne odpovedi
pogodbe o zaposlitvi na podlagi določb 110. člena ZDR-1 (nespoštovanje navodil zdravnika v času bolniške odsotnosti), po
mnenju Informacijskega pooblaščenca ne predstavlja kršitev določb Splošne uredbe o varstvu podatkov, saj gre za uporabo
podatkov za zakonit namen, določen v 48. členu ZDR-1.
3.7 KONTROLA BOLNIŠKEGA STALEŽA NA PODLAGI FOTOGRAFIJE
DELAVCA
Ali lahko delodajalec pridobi fotografije zaposlenih za namen
identifikacije delavca med kontrolo bolniškega staleža?
Zbiranje fotografij »na zalogo« od vseh delavcev za namen
morebitne kontrole bolniškega staleža pri zgolj nekaterih delavcih,
ki bodo začasno odsotni z dela in jim bo zdravnik odredil omejitve
ravnanja v tem času, ni dopustno, ker predstavlja prekomeren poseg
v zasebnost delavcev in ker podatki niso potrebni za izvrševanje
pogodbe o zaposlitvi. Delodajalec lahko za namen nadzora delavca
v času bolniške odsotnosti pridobi njegov bolniški režim, na podlagi
katerega ugotavlja, ali delavec spoštuje navodila zdravnika. To lahko
stori s kontrolo na domu delavca, pri čemer o opaženem naredi
zapisnik, ki ga podpiše tudi delavec. Če izvajalec kontrole ni
prepričan, da gre za pravo osebo, lahko njeno identiteto preveri z
vpogledom v osebni dokument.
3.8 PODATEK O OBISKU LABORATORIJA V ČASU BOLNIŠKE
ODSOTNOSTI
Ali lahko delodajalec pridobi podatek o tem, ali je bil delavec v času kontrole bolniškega staleža v laboratoriju?
Podatek o obisku laboratorija ali zdravnika v času bolniške odsotnosti (le datum in uro obiska oziroma pregleda, ne pa
razlogov zanj) predstavlja osebni podatek delavca, ki ga je delodajalec upravičen pridobiti, saj brez njega ob sumu zlorabe
pravice do odsotnosti z dela zaradi bolezni ali poškodbe ne more ustrezno ukrepati. Če zdravnik podatka delodajalcu ne
posreduje (tega mu namreč ne nalaga noben zakon), lahko delodajalec potrdilo o obisku laboratorija zahteva od delavca, ki
pa ga je dolžan predložiti.
Stran | 21
4 NADZOR NAD DELOVNIMI SREDSTVI
Izhodišča glede nadzora nad delovnimi sredstvi
Gre za kolizijo dveh pravic, in sicer lastninsko pravico delodajalca in delavčevo pravico do zasebnosti, nobena od
teh ni absolutna in treba je v vsakem konkretnem primeru iskati primerno in čim manj invazivno rešitev glede na
dane okoliščine.
Delodajalec ima namreč pravico do oblasti nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena
skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko utemeljeno pričakuje
določeno stopnjo zasebnosti na delovnem mestu, kar izhaja že iz 46. člena ZDR-1. Ta določa, da delodajalec varuje in
spoštuje delavčevo osebnost ter upošteva in ščiti njegovo zasebnost. Slednje izhaja tudi iz sodne prakse Evropskega sodišča
za človekove pravice (ESČP; primeri: Halford v. Združeno kraljestvo, Copland v. Združeno kraljestvo).
Ob hitro razvijajoči se tehnologiji postaja vprašanje zasebnosti na delovnem mestu vse bolj kompleksno. Meja
pristojnosti delodajalca in svobode delavca izrecno (še) ne ureja noben zakon, zato na splošno velja, da je delodajalec
dolžan cilj, ki ga zasleduje (čim bolj racionalno izrabo delovnega časa in delovnih sredstev za doseganje poslovnih
rezultatov), podpreti s čim manj invazivnimi in represivnimi ukrepi.
Vsaka oblika nadzora, ki pomeni poseg v pravico do zasebnosti, mora biti bodisi vnaprej utemeljena in
transparentno predstavljena zaposlenim v internih aktih podjetja (v kakšnih primerih, na kakšen način in kdo ga
lahko izvaja) bodisi imeti zakonsko podlago ter biti skladna z ustavnimi določili glede varstva zasebnosti. Ključni
element sodne prakse ESČP je namreč v tem, da je sodišče oblikovalo standard utemeljenosti pričakovanja zasebnosti
delavcev na delovnem mestu. Pri tem je pomembno, ali lahko zaposleni subjektivno in objektivno v določenih okoliščinah
predvidi oblike nadzora. Torej ali je bil vnaprej natančno seznanjen s tem, kaj, kdaj in v kakšnem obsegu je lahko predmet
nadzora. Sama opredeljenost nadzora v internih aktih pa še ne pomeni, da je vsak tak nadzor tudi dopusten – predhodna
obveščenost zaposlenih je tako potrebni, ne pa nujno tudi zadostni pogoj za zakonitost nadzora uporabe delovnih sredstev,
ki vključuje obdelavo osebnih in/ali komunikacijskih podatkov.
Delodajalec mora delavcu vnaprej v internih aktih predstaviti meje pričakovane zasebnosti pri uporabi delovnih
sredstev, pri čemer mora upoštevati, da je absolutna prepoved uporabe službenih sredstev v zasebne namene
nerealna in zato nesprejemljiva rešitev.
Delodajalci bi morali najprej premisliti, ali in v kakšnem obsegu sploh lahko rešujejo upravljavske in kadrovske
težave s tehnološkimi ukrepi. Blokade spletnih strani, nadzor e-pošte in druge oblike ukrepov namreč same po sebi
ne bodo rešile težav z zaposlenimi, ki ne opravljajo svojega dela.
4.1 ELEKTRONSKA POŠTA IN RAČUNALNIK
V okviru elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, na
katere je posameznik poslal elektronsko sporočilo in od katerih je sporočilo prejel; datum in čas pošiljanja in prejema
sporočila; zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom – priponka, velikost, itd.).
1 2
3
4
5 6
Stran | 22
Zato pri elektronski pošti Splošna uredba o varstvu podatkov varuje le prometne podatke, medtem ko je sama vsebina
elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma določb o
zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika.
4.1.1 VPOGLED V ELEKTRONSKO POŠTO NA PODLAGI DOLOČBE V POGODBI O ZAPOSLITVI
Ali lahko delodajalec dostopa do delavčevega predala službene elektronske pošte, shranjuje in bere službena elektronska
sporočila, če je to navedeno v pogodbi o zaposlitvi?
Pri dostopu do delavčevega predala službene elektronske pošte je treba izhajati iz dejstva, da lahko delavec na službeni
elektronski naslov prejme tudi povsem zasebno pisanje, kar velja tudi za navadno pošto. Za zasebno pisanje, ki pride po
navadni pošti, se štejejo pošiljke, ki so naslovljene na zaposlenega (njegovo osebno ime) in poslane na naslov delodajalca.
Pošiljk, ki prispejo v elektronski predal, na ta način ni mogoče ločevati, saj so vse naslovljene na elektronski naslov delavca,
njihova vsebina pa je lahko službena ali zasebna. To dejstvo je dolžan spoštovati tudi delodajalec.
Določilo v pogodbi o zaposlitvi, da delodajalec lahko pregleduje elektronsko pošto zaposlenega, zato ne more pomeniti
generalnega pooblastila za delodajalca, da lahko kadarkoli in brez vednosti zaposlenega pregleduje njegovo elektronsko
pošto. Določilo lahko pomeni le seznanitev zaposlenega z možnostjo pregleda elektronske pošte v primerih, določenih v
internem aktu (za katere namene, ob katerih okoliščinah, na kakšen način). Ob tem pa je pregled izjemoma dopusten le v
primeru, ko se namenov, zaradi katerih se pregled opravi, ne more doseči na drug, milejši način (torej v primeru, ko
zakoniti interes delodajalca očitno prevlada nad interesi posameznikov, na katere se osebni podatki nanašajo). Vsekakor
pa je najustreznejši in »najvarnejši« način posega v delavčevo zasebnost vezan na pridobitev sodne odredbe.
Takšni primeri vpogleda v službeno elektronsko pošto zaposlenega so zelo redki in izjemni (npr. realno grozeča poslovna
škoda zaradi nezmožnosti pridobitve podatka, ki se nahaja v predalu dolgotrajno odsotnega ali pokojnega delavca).
Informacijski pooblaščenec poudarja, da bi bilo tudi v izjemnih primerih najprimerneje vpogled v elektronsko pošto
dopustiti le do ravni t.i. prometnih podatkov, v vsebino pa vpogledovati zgolj na podlagi odredbe sodišča.
Z vpogledom v t.i. prometne podatke pridobi delodajalec podatke o pošiljatelju, datumu pošte in opisu zadeve. V vsebino
sporočila pa bi delodajalec lahko vpogledal le izjemoma in praviloma na podlagi vsakokratne izrecne privolitve zaposlenega
(vezane na konkretno elektronsko sporočilo in predvsem v primerih, ko sporočila ne bi mogel pridobiti od pošiljatelja) ali
na podlagi odredbe sodišča. Vsak vpogled je treba dokumentirati in ga izvesti po vnaprej predpisanem postopku.
Delodajalec lahko omeji uporabo službenega elektronskega naslova, če bi se iz drugih razlogov (ne z vpogledom v zasebno
pošto, pač pa na podlagi odzivov tretjih oseb na sporočila zaposlenega, počasno delovanje omrežja zaradi pošiljanja
slikovnih ali zvočnih datotek, povečano število virusov …) izkazalo, da ga ne uporablja v skladu s politiko delodajalca glede
uporabe službenih sredstev. Oprema in službeni elektronski naslov sta namreč last delodajalca, delavec pa ima kot imetnik
zgolj pravico do uporabe, seveda v razumnih mejah. Tako lahko delodajalec:
- omeji velikosti poštnih predalov (npr. x MB/GB) oziroma skupne velikosti poslane in prejete pošte, - nastavi filtre elektronske pošte, ki vnaprej preprečujejo določene formate priponk in/ali omejujejo velikost priponk elektronske pošte.
4.1.2 DOSTOP DO ELEKTRONSKE POŠTE IN RAČUNALNIKA PO PRENEHANJU DELOVNEGA RAZMERJA
Kako naj delodajalec uredi dostop do službene elektronske pošte bivšega zaposlenega, ne da bi s tem nedopustno posegel v
njegovo zasebnost?
Stran | 23
Delodajalec mora ob prenehanju delovnega razmerja deaktivirati elektronski poštni predal bivšega delavca zaradi
prenehanja pravne podlage (48. člen ZDR-1) za njegov obstoj. S tem bo zagotovil tudi točnost in ažurnost podatkov, saj
naslov z imenom bivšega delavca ne ustreza dejanskemu stanju.
Informacijski pooblaščenec opozarja, da je nedopustno, da bi delodajalec po prekinitvi delovnega razmerja elektronski
naslov nekdanjega zaposlenega ohranil aktiven na način, da bi njegovo pošto preusmeril na elektronski naslov drugega
zaposlenega.
Preusmeritev elektronske pošte ni edini način za zagotovitev kontinuitete dela in poslovne komunikacije s strankami, kupci
in poslovnimi partnerji družbe. Delodajalec bi namreč lahko zagotovil kontinuiteto dela na drug zakonit način, brez
poseganja v komunikacijsko zasebnost, npr. z ukinitvijo elektronskega naslova nekdanjega zaposlenega in hkratnim
avtomatskim obvestilom o neobstoju tega naslova in podatkom, kam naj naslovijo svoje sporočilo. Pri preusmeritvi
elektronske pošte je pomembno tudi dejstvo, da ne gre samo za nezakonito obdelavo osebnih podatkov nekdanjega
zaposlenega, ampak tudi za obdelavo osebnih podatkov pošiljateljev.
Delodajalec mora pred odhodom delavca in v sodelovanju z njim poskrbeti, da bodo službena sporočila prenesena v npr.
skupen elektronski predal za vhodno pošto ali drugače knjižena in dostopna delavcu oziroma delavcem, ki bodo nadaljevali
delo na teh vsebinah.
Delavec, ki odhaja, mora imeti možnost, da iz službenega predala elektronske pošte in z računalnika bodisi izbriše
sporočila in dokumente zasebne narave bodisi jih shrani na drug podatkovni medij (zgoščenko, USB ključ, idr.), ter da
obvesti svoje zasebne kontakte, da na ta elektronski naslov ne bo več dostopen.
Ta možnost mora biti delavcu dana, rok za odziv pa mora biti razumen. Če delodajalec utemeljeno sumi, da bi zaposleni s
tem lahko izbrisal tudi pomembne podatke službene narave (zlasti npr. podatke, ki predstavljajo intelektualno lastnino
podjetja, poslovne skrivnosti) ali jih protipravno posredoval tretjim osebam, se takšen postopek izvede komisijsko in
zapisniško. Priporočljivo je, da delavec o izbrisu zasebnih vsebin podpiše izjavo, da na službenem računalniku ni več nobenih
podatkov, katerih uporaba bi pomenila poseg v njegovo zasebnost. Izjava je lahko sestavni del primopredajnega zapisnika,
s katerim zaposleni vrača službeno opremo delodajalcu.
4.1.3 RAVNANJE Z ELEKTRONSKO POŠTO IN RAČUNALNIKOM V PRIMERU NENADNE SMRTI DELAVCA
Kakšno je ustrezno ravnanje delodajalca s službenim računalnikom in z elektronsko pošto v primeru nenadne smrti delavca?
Delodajalec ima pravico do nadaljnje uporabe službenih delovnih sredstev preminulega zaposlenega, vendar pa mora
previdno ravnati s podatki, ki se nahajajo na teh sredstvih. Informacijski pooblaščenec priporoča, da delodajalec v internem
aktu predpiše postopek v takšnih primerih. Priporočeni postopek vsebuje naslednje korake:
• Delodajalec najprej komisijsko in zapisniško odbere ter s službenega sredstva skopira podatke, ki so službene narave in
so nujno potrebni za poslovanje podjetja (npr. prijava na javni razpis, brez katere lahko podjetju nastane občutna
poslovna škoda in ki je ne more dobiti na drug način), pri čemer se v največji možni meri izogiba vpogledu v osebne
podatke in zasebno korespondenco zaposlenega.
• Podatkov zasebne narave delodajalec sicer ni dolžan hraniti, je pa dopustno, da jih skopira in začasno shrani (najdlje
toliko časa, kot je glede na konkretne okoliščine možno razumno pričakovati, da bi trajala pridobitev odredbe za
zavarovanje podatkov s strani dedičev ali drugih pooblaščenih oseb). Skopirane podatke mora ustrezno zavarovati.
• Predal elektronske pošte mora v najkrajšem možnem času onemogočiti, pošiljatelje pa z avtomatskim obvestilom
Stran | 24
seznaniti, da elektronski naslov ni več aktiven in da sporočilo ne bo dostavljeno ter da naj se obrnejo na drugi naslov.
Razloga ukinitve delovanja poštnega predala ni priporočljivo niti potrebno navajati.
• Delovno sredstvo, s katerega so bili varno skopirani podatki, lahko delodajalec formatira tako, da izvede varno in
nepovratno brisanje podatkov, potem pa ga preda v uporabo drugemu zaposlenemu.
4.1.4 RAVNANJE Z RAČUNALNIKOM OB SUMU STORITVE KAZNIVEGA DEJANJA
Kaj naj stori delodajalec, če sumi, da so na računalniku zaposlenega shranjeni dokazi o storitvi kaznivega dejanja?
Če bi delodajalec sumil, da je zaposleni storil katero od kaznivih dejanj (npr. goljufija, izdaja poslovne skrivnosti podjetja
ipd.), je pravilen postopek, da njegov računalnik (najustrezneje komisijsko, če se le da s sodelovanjem sindikata) zaseže
in zapečati oziroma ustrezno zavaruje pred neupravičenimi posegi, s čimer zavaruje morebitne dokaze in delavcu
onemogoči dostop do podatkov na računalniku. Potem računalnik preda policiji, ki pri ravnanju z računalnikom in podatki
upošteva postopkovna in tehnična pravila računalniške forenzike, pri čemer mora upoštevati določbe Zakona o kazenskem
postopku15. Za sam zaseg naprav (v praksi za izdelavo forenzičnih kopij vsebine teh naprav) odredba preiskovalnega sodnika
še ni potrebna, je pa potrebna za kasnejšo preiskavo, razen če se pridobi dovoljenja vseh pomembnih deležnikov. Zelo
pomembno je, da delodajalec ne prevzema vloge policije in ne preiskuje sam vsebine računalnika ali e-poštnega predala
zaposlenega, saj lahko s tem ogrozi ali celo izniči verodostojnost in uporabnost morebitnih dokazov v kasnejšem kazenskem
postopku.
Za pregled vsebine računalnikov, ki presega okvirje implementacije varnostne politike (npr. samodejno pregledovanje
datotek s protivirusnimi programi), je potrebna seznanitev, še primernejša pa je privolitev delavca, zlasti takrat, ko obstaja
verjetnost, da bi se oseba, ki izvaja pregled, pri tem seznanila z osebnimi podatki. Za vpogled v vsebino zasebnih
komunikacij je načeloma vedno potrebna odredba sodišča.
4.1.5 PROGRAMSKA OPREMA ZA ODDALJEN DOSTOP
Ali je zahteva delodajalca po namestitvi programske aplikacije za oddaljeni dostop na vse delovne postaje zakonita?
Programe za oddaljeni dostop se praviloma uporablja tedaj, ko ni mogoče oziroma ni smotrno nuditi neposredne tehnične
pomoči posameznim uporabnikom, nikakor pa se jih ne sme namestiti izključno z namenom nadzora nad delavci. Prav
zato takšni programi praviloma delujejo le pod pogojem, da uporabnik poda izrecno privolitev za vzpostavitev povezave in
s tem »oddaljene seje«. Tudi sicer takšne aplikacije uporabnika opozarjajo, da v nekem danem trenutku na njegovem
osebnem računalniku poteka seja oddaljenega dostopa oziroma, da je nekdo priključen na računalnik.
4.1.6 VPOGLED V ELEKTRONSKO POŠTO V ČASU ODSOTNOSTI DELAVCA
Ali je dopustno, da delavec pred odhodom na daljši dopust delavcu, ki ga bo nadomeščal, zaupa svoje geslo za dostop do
predala službene elektronske pošte?
Ko delavec odide na dopust in zaupa (prostovoljno ali na podlagi zahteve nadrejenega) geslo za dostop do svojega
službenega predala elektronske pošte drugemu delavcu, je to z vidika varovanja zasebnosti komunikacij (tako zaposlenega
kot zunanjih pošiljateljev) vsaj zelo problematično. V takšnih primerih obstajata dve boljši rešitvi:
15 Uradni list RS, št. 32/2012-UPB2 s spr.
Stran | 25
1. ključno poslovno komunikacijo se vedno pošilja v kopijo še na
splošen predal elektronske pošte (npr. izhodna.posta@e-
pošta.si),
2. delavec pred odhodom na dopust v svojem poštnem predalu
nastavi avtomatsko obveščanje o odsotnosti. Tako bo v času
odsotnosti vsakdo, ki mu bo poslal elektronsko sporočilo, dobil
samodejni odgovor v smislu: »od dne x do dne y sem odsoten,
morebitne službene zadeve pošljite na poštni naslov xy«. Na
tak način lahko ključne službene zadeve še vedno prejmejo
drugi (pristojni) zaposleni na način, ki ne predstavlja posega v
komunikacijsko zasebnost. Takšen avtomatski odzivnik je
mogoče aktivirati tudi brez posega v predal elektronske pošte.
4.1.7 VPOGLED V SKUPNI ELEKTRONSKI POŠTNI PREDAL
Ali ima delodajalec pravico vpogleda v elektronsko pošto, ki ima skupni
elektronski naslov in jo uporabljajo vsi zaposleni na določenem oddelku?
Kadar delodajalec za potrebe delovnega procesa odpre skupni poštni predal (npr. tajnistvo@e-pošta.si ali
racunovodstvo@e-pošta.si), v katerega imajo vpogled vsi delavci, vključeni v določen delovni proces, je polje pričakovane
zasebnosti delavca pri uporabi takšnega poštnega predala minimalno oziroma izključeno. Zato vpogled v elektronska
sporočila v takšnem skupnem predalu s strani delodajalca ni sporen. Seveda je priporočljivo, da se vnaprej določijo pravila
uporabe poštnega predala oziroma elektronskega naslova, s katerimi se seznani vse delavce, ki ga uporabljajo.
4.1.8 UPORABNIŠKA IMENA IN GESLA ZA DOSTOP DO SLUŽBENIH RAČUNALNIKOV
Ali lahko delodajalec vodi seznam vseh uporabniških imen in gesel za dostop do službenih računalnikov na način, da jih hrani
v zapečatenih kuvertah v ognjevarni omari?
Gesla, še zlasti, če so jih določili delavci sami oziroma če so jih imeli pravico sami spremeniti, so osebni podatki, poleg tega
omogočajo dostop do nadaljnjih osebnih podatkov delavca, ki so dosegljivi skozi informacijsko sredstvo (računalnik, e-poštni
račun, idr.), zavarovano z geslom.
Določila mednarodno veljavnih standardov na področju varovanja informacij in uveljavljene dobre prakse (kot so ISO/IEC
27002:2013, COBiT, PCI DSS ipd.) prepovedujejo hrambo kopij surovih gesel in zahtevajo, da se gesla v podatkovnih bazah
hranijo v takšni obliki, da jih nihče ne more prebrati, razkriti ali posredovati naprej, ne glede na njegova pooblastila.
Mogoče je zgolj preveriti, ali določeno geslo, ki ga je vnesel uporabnik, ustreza tistemu, ki je shranjeno v podatkovni bazi,
in sicer tako, da se to geslo spusti skozi isti kriptografski algoritem in potem primerja s shranjenim geslom. V primeru
pozabljenega ali izgubljenega gesla lahko pooblaščena oseba (npr. sistemski administrator ali administrator podatkovne
baze) obstoječe geslo spremeni in uporabniku dodeli novega, ne sme pa imeti možnosti pozabljenega gesla prebrati v bazi
in ga posredovati uporabniku.
Zapomnite si: vaše osebno geslo je samo vaše. Lahko vam ga spremenijo in dodelijo novega, ki si ga morate zamenjati,
nihče pa nima pravice ne videti, ne zahtevati vašega gesla.
Stran | 26
Priporočila Informacijskega pooblaščenca delodajalcu glede
ravnanja s službeno elektronsko pošto
Primere posegov v elektronsko pošto naj se eksplicitno navede v internem aktu, pri čemer je treba upoštevati, da
morajo biti ti primeri izjemni in redki (ko interes delodajalca očitno prevlada) in ko namena ni mogoče doseči z
milejšimi sredstvi, npr. nenadna smrt ali dlje časa trajajoča nedosegljivost delavca, ki ima v poštnem predalu
shranjeno dokumentacijo, nujno potrebno za poslovanje podjetja);
delavcem naj se naloži ločevanje poslovne elektronske pošte na način, da morajo zaposleni vso takšno pošto, ki jo
prejmejo na svoj naslov, preposlati v določen skupni poštni predal, prav tako morajo vanj poslati tudi vso pošto, ki jo
pošljejo poslovnim partnerjem;
delavcu naj se po prenehanju delovnega razmerja omogoči, da pregleda svoj poštni predal in delodajalcu
posreduje pomembne dokumente, sporočila oziroma elektronske naslove, zasebno elektronsko pošto pa izbriše;
elektronske pošte, ki prihaja na elektronski naslov nekdanjega delavca, naj se ne preusmerja, temveč delavčev
elektronski naslov takoj ob prenehanju delovnega razmerja onemogoči oziroma ukine ter uredi samodejni odzivnik,
ki pošiljatelja obvesti, da delavec ni več zaposlen pri delodajalcu (zgolj za določen čas, npr. 3 mesece) ali
da elektronski naslov ne obstaja več in da naj sporočilo pošlje na drug elektronski naslov;
elektronske pošte, ki prihaja na elektronski naslov dlje časa odsotnega delavca naj se ne preusmerja, temveč
namesti samodejno sporočilo, da je delavec dlje časa odsoten (pri čemer naj delodajalec ne navaja razloga za
delavčevo odsotnost) in na koga se pošiljatelj lahko obrne;
delavcem naj se naloži, da pred napovedano daljšo odsotnostjo uredijo samodejno sporočilo s kontaktnimi podatki
osebe, ki ga bo nadomeščala;
za splošno korespondenco s strankami oziroma javnostjo naj se uporablja skupne elektronske naslove (npr. gp@...,
info@..., stranke@...);
glede na svoje varnostne zahteve naj delodajalec po potrebi omeji uporabo službenega elektronskega naslova tako,
da omeji velikosti poštnih predalov ali nastavi filtre elektronske pošte, ki vnaprej preprečujejo določene formate
priponk in/ali omejujejo velikost priponk elektronske pošte brez poseganja v vsebino sporočil.
1 2 3 4 5 6 7 8
Stran | 27
4.2. TELEFON
4.2.1 NADZOR PORABE NA SLUŽBENEM TELEFONU
Na kakšen način lahko delodajalec kontrolira porabo na službenih telefonih in katere podatke lahko pri tem pridobi?
Pravico do pridobivanja razčlenjenih telefonskih računov in seznama klicanih številk ureja Zakon o elektronskih
komunikacijah16 v 139. členu. Delodajalec kot plačnik računa lahko vsak mesec prejme osnovno stopnjo razčlenitve računa,
iz katere so razvidni podatki o številu in trajanju klicev ter številu in ceni obračunskih enot.
V kolikor mu to ne zadošča, lahko naroči (za obdobje zadnjih treh mesecev, ker za dlje nazaj operaterji teh podatkov ne
hranijo več) višjo stopnjo razčlenitve računa, t.i. zakriti razčlenjeni račun, na katerem so med drugim prikazani tudi
posamezni klici, vendar so zadnje tri številke vseh klicanih in kličočih številk zaradi varovanja zasebnosti tretjih oseb prikrite,
razen če pripadajo drugim zaposlenim pri delodajalcu. Na podlagi takšnega računa se delodajalec največkrat že lahko odloči
glede upravičenosti povečane porabe. Če pa kljub temu presodi, da za dokončno odločitev potrebuje več podatkov, mora
od operaterja zahtevati t.i. nezakriti razčlenjeni račun, na katerem so klicane številke (ki so primarni vir stroškov) v celoti
razkrite, zahtevku pa mora priložiti tudi dokument, iz katerega je razvidno, kateremu uporabniku je bila dodeljena številka,
za katero zahteva razčlenjeni račun, ter uporabnikovo soglasje za izdajo takšnega računa oziroma za razkritje klicanih številk.
Pri tem zahtevku gre namreč za pravico delavca kot uporabnika telefona, da dokaže utemeljenost prekoračitve dovoljenih
stroškov, in ne za pravico delodajalca do nadzora stroškov. Zato operater nezakrit razčlenjen račun vroči delavcu, ki lahko
telefonske številke klicev, opravljenih za zasebne namene, na računu prekrije. Šele potem račun izroči delodajalcu, da
presodi upravičenosti presežene porabe. Če delavec tega ne stori, bo delodajalec lahko štel, da presežene mesečne porabe
ne želi pojasniti in mu jo bo zaračunal.
Informacijski pooblaščenec priporoča, da delodajalec v internem aktu, s katerim seznani vse uporabnike službenih
telefonov, določi tudi limit, do katerega krije stroške delodajalec, stroške nad limitom pa krije delavec, če ne dokaže, da
so prekoračeni stroški nastali zaradi uporabe telefona v službene namene. V izogib večkratnemu dokazovanju
utemeljenosti prekoračitve limita in s tem pridobivanju višje stopnje razčlenjenega računa je smiselno določiti letni limit,
ker je primernejši od mesečnega, saj se morebitna odstopanja v določenih mesecih (npr. presežki limita med službeno
potjo v tujini) tekom leta lahko izravnajo in ni potrebe po dokazovanju prekoračitev in vzrokov zanje.
4.2.2 PRENOS TELEFONSKE ŠTEVILKE PO PREKINITVI DELOVNEGA RAZMERJA
Ali lahko delodajalec po prekinitvi delovnega razmerja obdrži zasebno telefonsko številko delavca, ki jo je ta prenesel na
delodajalca?
Če sta se delodajalec in delavec ob prenosu številke dogovorila, da ta ostane delodajalcu tudi po prekinitvi delovnega
razmerja, ima delodajalec pravico telefonsko številko zadržati. V primeru, da se delodajalec in delavec glede časa trajanja
prenosa številke nista nič dogovorila, pa je po mnenju Informacijskega pooblaščenca treba pogodbo interpretirati v prid
šibkejše stranke, torej nekdanjega delavca. To pomeni, da delodajalec po prenehanju delovnega razmerja nima več pravne
podlage za uporabo telefonske številke nekdanjega delavca, razen če bi ta v to privolil.
16 Uradni list RS, št. 109/2012 s spr., v nadaljevanju: ZEKom-1
Stran | 28
4.3. INTERNET
Podatki o obisku spletnih strani so osebni podatki delavca, saj ob zasebni uporabi svetovnega spleta na službeni opremi
(lahko) izkazuje svoje interese, počutja ali druga osebna stanja (npr. oddaja zahtevka za odobritev večjega kredita preko
spletne strani banke kaže na premoženjsko stanje posameznika, nakup zdravila proti migreni na spletni strani proizvajalca
zdravil kaže na zdravstveno stanje posameznika). Zato bi spremljanje teh podatkov v trenutni ureditvi, ki dopušča razumno
uporabo službenih sredstev v zasebne namene, predstavljalo nedopusten poseg v zasebnost delavcev. Vpogled v te
podatke bi bil, tako kot pri vseh službenih sredstvih, dopusten le v izjemnih primerih (npr. reševanje uporabniških težav -
nedostopnost določene spletne strani, reševanje varnostnih incidentov - okužba računalnika zaradi obiska nevarne spletne
strani) in pod (ustavno in zakonsko skladnimi!) pogoji, določenimi v internem aktu delodajalca.
Delodajalec lahko omeji uporabo opreme, katere lastnik je (računalnika in omrežne opreme, ki naj bi jo delavec primarno
uporabljal v službene namene), na način, da dostop do določenih spletnih strani, ki jih zaposleni ne potrebuje za svoje
delo, blokira. Ena od pogosto uporabljenih možnosti preprečevanja uporabe spletnih storitev, kot so npr. Facebook,
Twitter, YouTube, je uporaba filtrov na strežnikih ali na usmerjevalnikih (ang. routerjih), ki filtrirajo promet po kriteriju
komunikacijskih vrat (ang. portov), spletnih naslovov, ali skupin IP naslovov naprav. S tem se lahko omeji svobodo
sprehajanja po spletu in se hkrati ne poseže v pravico do zasebnosti na delovnem mestu, saj gre za splošno
(nediskriminatorno) filtriranje na podlagi logičnih kriterijev, ne pa za vpogled v vsebino posameznikovega »brskanja« po
svetovnem spletu. Kljub temu pa delodajalcem priporočamo, da razmislijo o smiselnosti in učinkih tovrstnih blokad na
splošno organizacijsko in motivacijsko klimo v organizaciji.
4.4. TISKALNIKI
Novejši (mrežni) tiskalniki in multifunkcijske naprave samodejno shranjujejo nekatere podatke o tiskanju, skeniranju in
drugih opravilih (uporabniško ime, ime natisnjene datoteke, status tiskanja in število natisnjenih strani), ki predstavljajo
zbirko osebnih podatkov in so varovani po Splošni uredbi o varstvu podatkov, zaradi česar jih delodajalec ni upravičen
kadarkoli pregledovati.
Pri beleženju podatkov o uporabi tiskalnikov lahko pride tudi do obdelave občutljivih osebnih podatkov, saj lahko ime
natisnjene datoteke vsebuje podatke, ki so za zaposlenega zelo zaupne in intimne narave (npr. podatki, ki nakazujejo na
zdravstveno stanje).
Kljub temu da noben zakon delodajalcu ne daje izrecne pravne podlage za vzpostavitev zbirke osebnih podatkov in obdelavo
podatkov o tem, kaj, kdaj in koliko so zaposleni tiskali, je treba upoštevati legitimen interes delodajalca, da omeji stroške
tiskanja, in poiskati rešitev, ki bi upoštevala tako lastniško pravico delodajalca kot pravico zaposlenih do pričakovane
zasebnosti na delovnem mestu. Če v organizaciji obstaja utemeljen razlog za omejitev porabe, potem Informacijski
pooblaščenec priporoča določitev limita porabe (npr. dovoljeno število strani na mesec) glede na potrebe določenega
delovnega mesta, saj za nadzor nad stroški tiskanja zadošča že podatek o številu natisnjenih strani v določenem časovnem
obdobju s strani posameznega zaposlenega. Če pa je zaradi varovanja poslovnih skrivnosti ali tajnih podatkov potrebno
zagotoviti tudi nadzor nad naslovi in vsebino natisnjenih datotek, pa je pri tistih delavcih, ki pri svojem delu rokujejo s
takšnimi dokumenti, dopustno tudi takšno beleženje oziroma nadzor. V vsakem primeru je priporočljivo, da delodajalec o
načinu delovanja multifunkcijskih naprav, zlasti o tem, kateri podatki se pri tem shranjujejo (npr. datum in čas tiskanja,
uporabniško ime, število strani) in za koliko časa, jasno vnaprej seznani zaposlene (npr. z določbami v internih aktih, z
okrožnico po e-pošti ali na drug ustrezen način). Prav tako naj delodajalec opredeli, kdo je odgovorna oseba za to zbirko in
katere osebe imajo pravico dostopa.
Stran | 29
5 SINDIKAT IN SVET DELAVCEV
Konkreten obseg osebnih podatkov, do katerih je sindikat upravičen, je torej treba presojati glede na okoliščine
posameznega primera (predvsem zakonske določbe glede vloge sindikata v posameznih primerih npr. obveznost
posvetovanja v določenih primerih, možnost zastopanja delavca ipd. in določila kolektivnih pogodb) in ni na splošno vnaprej
opredeljen z zakonom, saj to niti ni mogoče. ZDR-1 (204. člen) pa še določa, da se za pisno obveščanje sindikata v primerih,
ki jih določa ta zakon, šteje tudi obveščanje sindikata po elektronski poti – z uporabo informacijske tehnologije v skladu z
ureditvijo v kolektivni pogodbi ali dogovorom med delodajalcem in sindikatom. Smiselno bi torej bilo, da imata delodajalec
in sindikat vnaprej sklenjen dogovor o načinu obveščanja ter tudi posredovanja podatkov. Primarni kontakt za delodajalca
je vsekakor sindikalni zaupnik (oz. če ta ni imenovan predsednik sindikata), ki je tudi v skladu z ZDR (205. člen) tisti, ki ima
pravico zagotavljati in varovati pravice in interese članov sindikata pri delodajalcu na način, ki ne zmanjšuje učinkovitosti
poslovanja delodajalca.
5.1. POSREDOVANJE PODATKOV O NAPREDOVANJU, PLAČNEM RAZREDU IN LETNIH OCENAH
Ali lahko delodajalec iz zasebnega sektorja, iz dejavnosti zdravstvene nege, sindikatu posreduje podatke o datumu zadnjega
napredovanja, plačnem razredu in letnih ocenah?
ZDR-1 v 203. členu določa, da mora delodajalec sindikatu omogočiti dostop do podatkov, ki so potrebni pri opravljanju
sindikalne dejavnosti, Kolektivna pogodba za zaposlene v zdravstveni negi pa v 2. členu oddelka III. določa, da direktor,
pooblaščeni delavci in strokovne službe zagotavljajo sindikatu podatke o vseh vprašanjih, o katerih odločajo organi
upravljanja in pooblaščeni delavci in ki se nanašajo na socialno-ekonomski in delovni položaj ter pravice, obveznosti in
odgovornosti zaposlenih v zdravstveni negi iz dela in delovnega razmerja. Delodajalci zagotavljajo sindikalnemu zaupniku
tudi podatke o plačah vseh in vsakogar z namenom kontrole izvrševanja določb kolektivne pogodbe in pogodb o zaposlitvi.
Splošni okvir za posredovanje osebnih
podatkov delodajalca sindikatu
predstavlja 203. člen ZDR-1, ki določa,
da mora delodajalec sindikatu
zagotoviti pogoje za hitro in učinkovito
opravljanje sindikalnih dejavnosti v
skladu s predpisi, s katerimi se varujejo
pravice in interesi delavcev. Prav tako
pa je v tem okviru delodajalec dolžan
sindikatu omogočiti dostop do tistih
podatkov, ki so potrebni pri
opravljanju sindikalne dejavnosti.
Stran | 30
Navedeni določbi ZDR-1 in Kolektivne pogodbe po mnenju Informacijskega pooblaščenca nista dovolj določni v smislu
Splošne uredbe o varstvu podatkov, da bi sami zase predstavljali pravno podlago za posredovanje osebnih podatkov vseh
delavcev 'na zalogo' ali na splošno ne glede na namen. Sindikat je namreč upravičen do obdelave tistih osebnih podatkov,
za katere ima izrecno zakonsko podlago ali za katere je pridobil osebno privolitev delavcev. Sindikat je do podatkov (brez
osebne privolitve posameznika) v konkretnem primeru upravičen, če bi izkazal, da jih nujno potrebuje za opravljanje
sindikalne dejavnosti oz. v primeru plačnega razreda – le, če je to nujno potrebno za namene kontrole izvrševanja določb
kolektivne pogodbe in pogodb o zaposlitvi.
Zahtevo za posredovanje osebnih podatkov delavcev, od katerih je
pridobil osebno privolitev za obdelavo osebnih podatkov, pa mora
sindikat oblikovati na način, da poimensko navede, za katere delavce,
katere osebne podatke, za kakšen namen in na kakšni pravni podlagi
zahteva. V nasprotnem primeru je po 203. členu ZDR-1 upravičen zgolj
do statističnih podatkov. Če pa bi šlo za zaposlene v javnem sektorju,
so v skladu z Zakonom o sistemu plač v javnem sektorju plače v javnem
sektorju javne, pri čemer so javnosti dostopni podatki o delovnem
mestu, nazivu ali funkciji, o osnovnih plačah (tudi o plačnem razredu),
o dodatkih ter delu plače za delovno uspešnost, razen dodatka za
delovno dobo.
5.2. POSREDOVANJE PODATKOV O BOLNIŠKI ODSOTNOSTI
Ali lahko delodajalec sindikatu za namen dodelitve solidarnostne
pomoči posreduje podatke v zvezi z bolniško odsotnostjo delavcev nad 90 dni?
Upravičenost do solidarnostne pomoči je pravica delavca oziroma obveznost delodajalca, ki je v zvezi z delovnim razmerjem.
Informacijski pooblaščenec meni, da sindikat mimo volje delavca delodajalcu ne sme poslati zahteve za posredovanje
podatkov za namen dodelitve solidarnostne pomoči. Gre namreč za pravico delavca, kar pomeni, da je od njega odvisno, ali
jo bo uveljavljal ali ne. Šele ko se delavec odloči uveljavljati pravico in ko na sindikat vloži vlogo za pridobitev pomoči, lahko
sindikat zaprosi delodajalca za potrebne podatke (ti so lahko določeni v kolektivni pogodbi). V takšnem primeru bosta
pravno podlago za posredovanje osebnih podatkov delavca sindikatu predstavljala 48. člen (v povezavi z 203. členom) ZDR-
1, saj bo posredovanje osebnih podatkov potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v
zvezi z delovnim razmerjem.
5.3. POSREDOVANJE OSEBNIH IMEN ODPUŠČENIH DELAVCEV
Ali je v primeru nameravane odpovedi pogodb o zaposlitvi iz poslovnega razloga svet delavcev upravičen do osebnih imen
odpuščenih delavcev tudi v primeru, da ti tega niso zahtevali?
V 91. členu Zakona o sodelovanju delavcev pri upravljanju17 je določeno, da mora delodajalec obveščati svet delavcev in
zahtevati skupno posvetovanje glede statusnih in kadrovskih vprašanj (mednje se v skladu s 94. členom ZSDU šteje tudi
zmanjšanje števila delavcev družbe) ter glede vprašanj varnosti in zdravja pri delu. Potrebne informacije mora delodajalec
posredovati svetu delavcev najmanj 30 dni pred sprejemom odločitve. ZDSU ne določa eksplicitno, katere informacije mora
delodajalec posredovati svetu delavcev oziroma da mu mora v primeru zmanjšanja števila delavcev posredovati njihove
osebne podatke, zato Informacijski pooblaščenec meni, da potrebno informacijo v konkretnem primeru (gre za redne
odpovedi pogodb o zaposlitvi iz poslovnih razlogov) predstavlja samo število odpuščenih delavcev (lahko tudi razporeditev
odpuščanj po sektorjih ali oddelkih) in ne poimenski seznam delavcev. Delodajalec bi osebna imena odpuščenih delavcev
lahko posredoval na podlagi vnaprejšnjih privolitev odpuščenih delavcev ali v primeru predhodnega dogovora, npr. na ravni
kolektivne pogodbe dejavnosti oziroma podjetja.
17 Uradni list RS, št. 42/2007, s spr., v nadaljevanju: ZSDU
Stran | 31
6 RAZNO
6.1. POŠILJANJE ČESTITK IN DARIL
Ali lahko delodajalec osebne podatke iz kadrovske evidence uporabi za namen pošiljanja čestitk delavcem ob rojstnem dnevu
in v času božičnih praznikov za namen pošiljanja daril delavcem in njihovim otrokom?
Informacijski pooblaščenec meni, da je obdelava osebnih podatkov za namen pošiljanja čestitk in daril zaposlenim lahko
potrebna za uresničevanje pravic in obveznosti iz delovnega razmerja, če so za to glede na konkretne okoliščine pri
delodajalcu izpolnjeni pogoji. Delodajalec mora glede na vse okoliščine oceniti, ali gre pri tem za takšne aktivnosti v zvezi z
vodenjem, ki so potrebne zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
V nasprotnem primeru je dopustna podlaga za pošiljanje čestitk in daril lahko le osebna privolitev zaposlenih. Zavrnitev
podaje privolitve ne sme pomeniti nikakršnih negativnih pravnih posledic za zaposlene. Delodajalec mora spoštovati voljo
zaposlenega, ki voščilnice ali darila ne želi prejeti, in mu jih v odsotnosti privolitve ne sme pošiljati.
6.2. POŠILJANJE PLAČILNIH LIST PO E-POŠTI
Ali lahko delodajalec zaradi racionalizacije stroškov plačilne liste delavcem pošilja po elektronski pošti?
Plačilna lista zaposlenega vsebuje varovane osebne podatke, kot so davčna številka, naslov prebivališča, dodatek na
delovno dobo, morebitne podatke o odtegljajih kreditov, preživnin in podobno. Poleg tega lahko plačilna lista vsebuje tudi
podatek o članstvu v sindikatu, ki v skladu s prvim odstavkom 9. člena Splošne uredbe o varstvu podatkov sodi med posebne
vrste osebnih podatkov.
Informacijski pooblaščenec sicer meni, da pošiljanje plačilnih list po e-pošti ni najbolj varen način seznanitve delavcev z
mesečno plačo. Če pa se delodajalec kljub temu odloči, da bo plačilne liste posredoval v e-obliki, je priporočljivo, da stori
naslednje:
• če plačilna lista vsebuje podatek o članstvu v sindikatu, je podatke treba kriptirati,
• da plačilne liste, čeprav ne vsebujejo občutljivih osebnih podatkov, pošilja v šifriranih datotekah, ki naj bodo ločene
od gesel za njihovo odpiranje. Ta gesla naj delodajalec delavcem sporoči osebno.
• poskrbeti mora za verodostojnost dokumenta.
Če bo delodajalec plačilne liste pošiljal na zasebne e-naslove delavcev, je pomembno, da ima za obdelavo e-naslovov
ustrezno pravno podlago. Informacijski pooblaščenec priporoča pridobitev pisne privolitve, pri čemer mora delavce
seznaniti z namenom obdelave e-naslovov (pošiljanje plačilnih list). Če zaposleni ne želi posredovati e-naslova ali ga nima,
mu bo moral delodajalec plačilno listo dostaviti na drugačen način.
6.3. VPOGLED V REZULTATE TESTOV
Ali kandidat za zaposlitev lahko vpogleda v rezultate svojih testov, ki jih je opravljal v postopku selekcije med prijavljenimi
kandidati?
Rezultati testov, ki so jih opravili kandidati v okviru izbirnega postopka, predstavljajo zbirko osebnih podatkov, delodajalec
pa je njen upravljavec. V skladu s 15. členom Splošne uredbe o varstvu podatkov, ki določa vsebino pravice do seznanitve z
lastnini osebnimi podatki in 12. členom Splošne uredbe o varstvu podatkov, ki določa način uresničevanja te pravice, mora
Stran | 32
delodajalec kandidatu na njegovo zahtevo med drugim omogočiti dostop do podatkov, ki so vsebovani v zbirki osebnih
podatkov in se nanašajo nanj, ter zagotoviti njihovo kopijo. Zahtevo mora kandidat vložiti pisno ali ustno na zapisnik,
delodajalec pa mu mora omogočiti dostop in kopiranje najkasneje v 1 mesecu od prejema zahteve ali ga v istem roku pisno
obvestiti o razlogih, zaradi katerih mu tega ne bo omogočil. Če delodajalec ravna drugače, se šteje, da je zahtevo zavrnil,
kandidat pa ima možnost vložiti pritožbo pri Informacijskem pooblaščencu. Stroške v zvezi z zahtevo in vpogledom krije
delodajalec.
Delodajalec je dolžan v 1 mesecu vsakemu delavcu omogočiti seznanitev z njegovimi osebnimi podatki (npr. vpogled
v podatke, pridobitev kopij dokumentov iz personalne mape, pridobitev izpisov podatkov, ki jih o delavcu vodi v e-obliki).
6.4. ZAHTEVA PO NERAZKRIVANJU PODATKA O PLAČI
Ali sme delodajalec v pogodbi o zaposlitvi opredeliti, da je višina plače delavca zaupni podatek in je delavec ne sme razkriti
niti po prenehanju delovnega razmerja?
Plača vsakega delavca predstavlja njegov osebni podatek in ga sme v skladu s 6. členom Splošne uredbe o varstvu podatkov,
ki določa, da se osebni podatki lahko obdelujejo tudi na podlagi osebne privolitve posameznika, načeloma sporočiti
katerikoli tretji osebi. Vendar pa je pri obdelavi osebnih podatkov treba upoštevati tudi področno zakonodajo. Tako so plače
(bruto znesek) v javnem sektorju v skladu z 38. členom Zakona o sistemu plač v javnem sektorju18 javne, v zasebnem sektorju
pa lahko plača delavca predstavlja tudi poslovno skrivnost podjetja. Zakon o poslovni skrivnosti19 v prvem odstavku 2. člena
določa, da poslovna skrivnost zajema nerazkrito poslovno znanje, izkušnje in poslovne informacije, ki izpolnjuje naslednje
zahteve:
- je skrivnost, ki ni splošno znana ali lahko dosegljiva osebam v krogih, ki se običajno ukvarjajo s to vrsto informacij;
- ima tržno vrednost;
- imetnik poslovne skrivnosti je v danih okoliščinah razumno ukrepal, da jo ohrani kot skrivnost.
Iz navedenega izhaja, da lahko delodajalec po lastni presoji označi določen podatek kot zaupen oziroma kot poslovno
skrivnost in prepove njegovo neupravičeno sporočanje, torej tudi podatek o plači. O dolžnosti in načinu varovanja poslovne
skrivnosti ter o odgovornosti delavca pa lahko delodajalec delavca obvesti tudi s posebnim členom v pogodbi o zaposlitvi.
7 ROK HRAMBE OSEBNIH PODATKOV
7.1. OSEBNI PODATKI DELAVCEV
Splošna uredba o varstvu podatkov na splošno ureja rok hrambe osebnih podatkov enotno za vse vrste osebnih podatkov,
in sicer v točki (e) prvega odstavka 5. člena. Ta določa, da se osebni podatki lahko hranjeni v obliki, ki dopušča identifikacijo
posameznikov, na katere se nanašajo osebni podatki, le toliko časa, dokler je potrebno za namene, za katere se osebni
podatki obdelujejo.. Osebni podatki se lahko hranijo daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem
18 Uradni list RS, št. 108/2009-UPB13 s spr. 19 Uradni list RS, št. 22/2019.
Stran | 33
interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, pri čemer je treba izvajati ustrezne
tehnične in organizacijske ukrepe iz Splošne uredbe o varstvu podatkov, da se zaščitijo pravice in svoboščine posameznika,
na katerega se nanašajo osebni podatki. 48. člen ZDR-1 določa, da se morajo osebni podatki delavcev, za zbiranje katerih
ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati, ZEPDSV pa določa, da se evidence, ki jih vodijo
delodajalci, začnejo za posameznega delavca voditi z dnem, ko sklene pogodbo o zaposlitvi, prenehajo pa z dnem, ko mu
pogodba o zaposlitvi preneha. Dokumenti s podatki o delavcu, za katerega se prenehajo voditi omenjene evidence in
izvirne listine, na podlagi katerih se vpisujejo podatki v te evidence, se hranijo kot listine trajne vrednosti.
Navedeno pomeni, da delodajalec tudi po prenehanju delovnega razmerja nujno razpolaga z določenimi zbirkami osebnih
podatkov o bivših delavcih, in sicer z zbirkami osebnih podatkov, ki vsebujejo dokumente in izvirne listine iz 14., 17. in 19.
člena ZEPDSV (listine trajne vrednosti). Poleg tega pa lahko delodajalec po prenehanju delovnega razmerja obdeluje tudi
druge osebne podatke delavca, ki so v skladu s prvim odstavkom 48. člena ZDR-1 potrebni zaradi uresničevanja pravic in
obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, vendar samo toliko časa, dokler stranki delovnega
razmerja lahko uveljavljata svoje pravice. Ko so poravnane vse obveznosti, ki izhajajo iz delovnega razmerja, je namen,
zaradi katerega so se delavčevi osebni podatki zbirali, dosežen, zato mora delodajalec zbrisati in prenehati uporabljati
vse delavčeve osebne podatke, razen tistih, za katere ZEPDSV ali drug zakon (če gre npr. za arhivsko gradivo) določa, da
se hranijo trajno.
Informacijski pooblaščenec priporoča, da delodajalec po prenehanju delovnega razmerja pregleda personalno mapo
delavca ter izloči dokumente, ki predstavljajo listine trajne vrednosti (npr. pogodbe o zaposlitvi, M-obrazci) in jih shrani v
arhivski zbirki. Ostale dokumente hrani glede na namen njihove obdelave (npr. dokumente v zvezi s kršitvami pogodbenih
ali drugih obveznosti iz delovnega razmerja lahko hrani do izteka zastaralnih rokov s področja obligacijskega ali
kaznovalnega prava (5 let), psihometrične teste, ki imajo glede na strokovno literaturo kratko dobo uporabnosti (približno
2 leti), pa lahko uniči takoj po prenehanju delovnega razmerja).
V skladu z ZEPDSV ob prenehanju dejavnosti delodajalca prevzame arhiv podatkov o delavcu pravni naslednik. Če
pravnega naslednika ni, arhivsko gradivo prevzame Arhiv Republike Slovenije.
7.2. OSEBNI PODATKI KANDIDATOV ZA ZAPOSLITEV
V postopku izbire kandidatov za zaposlitev na razpisano delovno mesto je treba rok hrambe dokumentacije določiti
načeloma glede na potek rokov za uveljavljanje pravic in dokler to za določeno dokumentacijo zahtevajo morebitni
področni predpisi.
Po zaključku izbirnega postopka je treba dokazila, ki so jih delodajalcu predložili neizbrani kandidati, hraniti najmanj do
roka, ko je mogoče pričakovati, da bo zoper odločitev o izbiri vloženo pravno sredstvo. V skladu s petim odstavkom 200.
člena ZDR-1 lahko neizbrani kandidat, ki meni, da je bila pri izbiri kršena zakonska prepoved diskriminacije, v roku 30 dni po
prejemu obvestila delodajalca zahteva sodno varstvo pred pristojnim delovnim sodiščem. Prvi odstavek 30. člena ZDR-1
določa, da mora delodajalec neizbranega kandidata v osmih dneh po zaključenem postopku izbire pisno obvestiti o tem, da
ni bil izbran. Delodajalec je dolžan neizbranemu kandidatu na njegovo zahtevo vrniti vse dokumente, ki mu jih je predložil
kot dokaz za izpolnjevanje zahtevanih pogojev za opravljanje dela.
Originalna dokazila se po poteku roka za vložitev pravnega sredstva v skladu s 30. členom ZDR-1 vrne neizbranemu
kandidatu (če gre za originalna dokazila ali če kandidat to zahteva). Gradivo in kopije originalnih dokazil se sicer hrani, kot
je pojasnjeno v nadaljevanju.
Dokazila, ki jih je delodajalcu predložil kandidat, s katerim je bila sklenjena pogodba o zaposlitvi, se hranijo trajno.
Stran | 34
V zvezi z morebitnimi drugimi postopki uveljavljanja drugih pravic v izbirnem postopku in zahtevami drugih predpisov (npr.
ZVDAGA, Uredba o upravnem poslovanju) ali v skladu z morebitnimi specifičnimi pogodbenimi obveznostmi (npr. v zvezi s
hrambo dokumentacije iz razpisov) je treba do izteka posameznih rokov hraniti vso dokumentacijo, ki nastane v izbirnem
postopku (npr. objava prostega delovnega mesta, vloge kandidatov, sklep o imenovanju izbirne komisije, analiza vlog, vabila
na razgovore, testi oziroma preizkusi znanja, zapisnik izbirnega postopka, sklep o izbiri, obvestila izbranemu in neizbranim
kandidatom, pritožbe), in ki je namenjena odločanju o izbiri najprimernejšega kandidata in obenem služi tudi kot dokaz, da
je bil postopek izbire kandidata izveden pravilno.
Skladno s temi nameni je treba dokumentacijo hraniti, dokler je mogoče uveljavljati pravice, ki izvirajo iz izbirnega
postopka oziroma je možno vložiti ovadbo ali odškodninsko tožbo oziroma dokler specialni predpisi za posamezne
postopke to zahtevajo. Zaradi tega je pri določanju časa shranjevanja te dokumentacije treba upoštevati specialne predpise
in zastaralne roke s področja obligacijskega ali kaznovalnega prava. V primeru, ko pravno sredstvo zoper odločitev o izbiri
ni bilo vloženo, je načeloma (če za določene postopke posebni predpisi ne določajo drugače) treba dokumentacijo hraniti
pet let od dneva odločitve o izbiri. Če pa so bili v zvezi z določeno dokumentacijo sproženi sodni ali drugi postopki, pa je
treba dokumentacijo hraniti do pravnomočnega zaključka teh postopkov.
Pri hrambi dokumentacije, ki ni neposredno povezana z izbirnim postopkom, je treba upoštevati zakonske roke hrambe in
splošno načelo omejitve shranjevanja iz 5. člena Splošne uredbe o varstvu podatkov, v skladu s katerim se osebni podatki v
obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, hranijo le toliko časa, kolikor je
potrebno za namene, za katere se osebni podatki obdelujejo. Priporočamo, da upravljavci v vseh primerih, preden se
odločijo za dokončen izbris podatkov, temeljito preverijo vse okoliščine posamezne zadeve.
Potrdila tistih kandidatov, ki so sami izrazili željo, da delodajalec njihove vloge hrani za namene eventualnih novih razpisov
in so za ta namen tudi podali svojo nedvoumno privolitev, se lahko hrani tudi dlje. Rok hrambe teh vlog je odvisen od
okoliščin posameznega primera (npr. privolitev kandidata je podana le za določen čas, rok hrambe določajo interna pravila
delodajalca, posameznik prekliče privolitev).
Stran | 35
NAPOTITEV NA DRUGE SMERNICE INFORMACIJSKEGA POOBLAŠČENCA
Informacijski pooblaščenec je izdal tudi druge smernice, ki se nanašajo na obdelavo osebnih podatkov v razmerju
delavec – delodajalec:
Uporaba zasebnih naprav delavcev (npr. prenosnikov, pametnih telefonov) v službenih okoljih je vedno bolj pogosta in
zaželena tako s strani delavcev kot s strani delodajalcev. Smernice »Uporaba zasebnih naprav v službene
namene (BYOD)« predstavljajo prednosti in tveganja ter priporočila za zakonito in varno uvedbo takšnih rešitev ter
podajajo odgovore na vprašanja, kako naj delodajalci ravnajo v takšnih primerih, da ne bodo neupravičeno in
prekomerno posegli v zasebnost zaposlenih.
Z analizo vpliva uvedbe sledilnih (GPS) naprav na varstvo osebnih podatkov in s primeri uporabe sledilnih naprav se
lahko delodajalci, ki želijo namestiti sledilne naprave v službena vozila, seznanijo v smernicah »Uporaba GPS
sledilnih naprav in varstvo osebnih podatkov«.
Odgovori na najpogosteje zastavljena vprašanja v zvezi z izvajanjem videonadzora na delovnem mestu (npr. ali lahko
delodajalec v primeru suma kraje s strani zaposlenih namesti prikriti videonadzor na način, da zaposlenih z njim sploh ne
seznani; ali je dopustno izvajati videonadzor na delovnem mestu izključno zaradi kontrole delovnega časa; ali je
videonadzor dostopov v službene prostore dopustno namestiti oziroma ga uporabiti zaradi kontrole evidentiranja
delovnega časa), pogoji za uvedbo videonadzora in dolžnosti izvajalcev videonadzora so objavljeni v »Smernicah
glede izvajanja videonadzora«.
»Smernice glede uvedbe biometrijskih ukrepov« predstavijo zakonsko ureditev teh ukrepov ter podajajo
navodila delodajalcem, kaj storiti pred uvedbo biometrijskih ukrepov, kdaj je treba pridobiti dovoljenje za njihovo
uvedbo, kako vložiti zahtevo za dovoljenje in kaj naj takšna zahteva vsebuje.
Vse zgoraj navedene smernice so dostopne na
Stran | 36
ZAKLJUČEK
Varstvo osebnih podatkov delavcev mora delodajalcu predstavljati eno temeljnih načel pri izvrševanju pravic in
izpolnjevanju dolžnosti, ki jih ima kot močnejša stranka v delovnem razmerju. Zavedati se mora, da lahko z dejanji, ki mu jih
omogoča njegov položaj v delovnem razmerju, globoko poseže v ustavno zagotovljeno pravico do varstva osebnih podatkov,
zato mora v takšnih primerih ravnati skrbno, preudarno in skladno z zakonodajo, ki to področje ureja. Informacijski
pooblaščenec svetuje, da delodajalec posamezna vprašanja o možnih posegih v pravico do varstva osebnih podatkov
delavcev vnaprej uredi v ustreznih notranjih aktih in o tem delavce tudi obvesti, predvsem pa vsa vprašanja s tega področja
ureja skladno z zakonskimi podlagami in, če je le možno, v sodelovanju z delavci. Takšno ravnanje bo zagotovo vodilo tudi
do večjega zaupanja med strankama delovnega razmerja in posledično do večje delovne uspešnosti.
